Stadig flere likhetstrekk i internasjonale regelverk for operasjonell motstandsdyktighet

I korte trekk

• Det har vært stor aktivitet rundt regelverket for operasjonell motstandsdyktighet (operational resilience) for finanssektoren det siste året. Europakommisjonen offentliggjorde forslaget til forordning om digital operasjonell motstandsdyktighet Digital Operational Resilience Act (DORA) for finanssektoren i 2020. DORA setter krav til testing av cyber-sikkerhet i tillegg til andre krav knyttet til digital motstandsdyktighet. Det forventes at DORA vil gjennomføres i norsk lov som en forskrift. Det kan også bli nødvendig å justere TIBER-NO når DORA trer i kraft.
• I starten av 2021 publiserte Basel-komiteen for banktilsyn (Basel Committee on Banking Supervision, BCBS) sine Prinsipper for operasjonell motstandsdyktighet for banksektoren, samtidig som et kontrollrammeverk for Storbritannia også er ferdigstilt.
•  Vi ser stadig mer konvergens mellom viktige myndighetsorganer og standardsettere for finansielle tjenester når det gjelder innfallsvinkelen til operasjonell motstandsdyktighet.
• Likevel vil det fortsatt være viktige forskjeller mellom ulike jurisdiksjoner. Etter vårt syn blir imidlertid disse forskjellene stadig mer håndterlige, og det er nå færre barrierer for selskaper som vil ha en global, konserndekkende tilnærming til sine aktiviteter for operasjonell motstandsdyktighet, med justeringer for spesielle krav i enkelte jurisdiksjoner ved behov.

2021 har så langt vært et aktivt år med tanke på utvikling av reguleringer knyttet til operasjonell motstandsdyktighet for bedrifter i finanssektoren. I slutten av mars ferdigstilte britiske myndigheter sitt kontrollrammeverk for operasjonell motstandsdyktighet, som de først kom med forslag til i 2018, og få dager etter publiserte Basel-komiteen for banktilsyn sine prinsipper for operasjonell motstandsdyktighet for bankvesenet. I EU pågår de politiske forhandlingene om forordningen “Digital Operational Resilience Act” (DORA) fortsatt, både i Europaparlamentet og Europarådet, og flere finansielle tilsynsmyndigheter har avklart sine planer og hvilke forventninger de har til firmaer.

I fjor publiserte Deloitte rapporten “Resilience without borders”. Der argumenterte Deloitte for at måten myndighetene arbeider med operasjonell motstandsdyktighet i viktige jurisdiksjoner for finansielle tjenester viser stadig større likhetstrekk i prinsipper og retning. Dette er bemerkelsesverdig i en tid der økende forskjeller er trenden på mange andre finanspolitiske områder. Deloittes syn var en gang at de økende likhetstrekkene representerte en mulighet for selskaper i finanssektoren med virksomhet i flere land til å innta en mer integrert, konserndekkende tilnærming til arbeidet de gjør for økt operasjonell motstandsdyktighet de kommende årene.

Siden da har det blitt publisert eller ferdigstilt viktige myndighetsforslag i Storbritannia, EU og USA og andre jurisdiksjoner. Derfor ønsket vi å gjøre en ny vurdering av om det fortsatt er en økende konvergens i regelverket for operasjonell motstandsdyktighet, og hva det betyr for selskapene.

De endelige BCBS-prinsippene gir lovnad om større konvergens i regelverk framover

Det som er mest merkbart i de ulike myndighetspublikasjonene de siste månedene er graden av konvergens rundt et sett relativt vanlige prinsipper for operasjonell motstandsdyktighet i finanssektoren. Denne trenden er imidlertid mer synlig i banksektoren enn i noen annen del av finanssektoren for øyeblikket.

De endelige BCBS-prinsippene angir en tilnærming for banktilsynene som de kan ta inn i sitt nasjonale regelverk, eller regelverket for den aktuelle jurisdiksjonen. Selskapene vil i siste instans måtte rette seg etter reglene i det landet de er i, men BSBC-prinsippene angir en retning som vi forventer at mange større finansielle jurisdiksjoner vil følge. Noen av de viktigste komponentene i de endelige BCBS-standardene som har sterke likhetstrekk med den britiske tilnærmingen er:

• En antakelse om at det vil skje forstyrrelser som påvirker kritisk virksomhet: De oppfordrer bankene til å anta at forstyrrelser i “kritisk virksomhet” (“critical operations”) er uunngåelig, og fokuserer på hva bankene kan gjøre for å kunne drive slik virksomhet og levere tjenester gjennom en slik periode.
• Kartlegging av gjensidig avhengige forhold: De understreker behovet for at bankene må ha en klar forståelse av interne og eksterne forbindelser og gjensidige avhengighetsforhold i kritisk virksomhet for å kunne identifisere sårbare områder.
• Fastsette toleranse: De bruker uttrykket “tolerance for disruption” og risikoappetitt som et referansepunkt som bankene bør bruke for å forstå hvilket nivå av operasjonell motstandsdyktighet som er nødvendig å oppnå gjennom investeringer og forbedringer. Dette er det samme konseptet som kalles “impact tolerance” i det britiske rammeverket. 
• En testbasert tilnærming: De oppmuntrer bankene til å teste evnen til å fortsette å levere kritisk virksomhet i en lang rekke forstyrrelses-scenarier.
• En sentral tilsynsrolle for styret: Prinsippene foreskriver at bankens styre må gjennomgå og godkjenne strategien for operasjonell motstandsdyktighet, og se over arbeidet med å identifisere kritisk virksomhet og formulere toleransen for forstyrrelser som fastsettes. Det understrekes også at innføringen av operasjonell motstandsdyktighet og rapportering om dette til styret er et viktig ansvar som tilligger bankens øverste ledelse. 

Vi ser at andre tilsynsmyndigheter også har hatt høringer om standarder og rettledninger som i stor grad var basert på BCBS’ tilnærming. Dette gjelder blant annet “Sound Practices to Strengthen Operational Resilience” (god praksis for å styrke operasjonell motstandsdyktighet) utstedt av den amerikanske sentralbanken og andre føderale organer i oktober 2020, og “Conslutation on Cross-Industry Guidance on Operational Resilience” (høring vedrørende rettledning om operasjonell motstandsdyktighet på tvers av bransjer) utstedt av den irske sentralbanken i april 2021.

Det at disse publikasjonene er basert på svært like prinsipper, prinsipper som oppfordrer selskaper til å iverksette lignende tiltak, viser at det globale arbeidet med regelverk for operasjonell motstandsdyktighet i finanssektoren utvikler seg i samme retning.

EUs forordning om digital operasjonell motstandsdyktighet (DORA) er i tråd med BCBS terminologien

EUs DORA legger større vekt på risikostyring knyttet til IT. Prosessene, kontrollene og prosedyrene selskapene må ha på plass for å forhindre forstyrrelser og opprettholde driften når forstyrrelser likevel inntreffer, er godt beskrevet i regelverket. Det virker også sannsynlig at DORA vil innføre særkrav til selskaper som setter ut IT til tredjepartsleverandører som vil betegnes som “critical". BCBS bruker terminologien "critical operations" som er mer i tråd med terminologien som brukes i EUs DORA og i USA. 

Som Deloitte beskrev i nærmere detalj i fjor, er dette en viktig forskjell i vektlegging mellom EUs og Storbritannias tilnærming, men den vil likevel ikke føre til at de to rammeverkene blir uforenlige for et selskap som driver virksomhet i begge jurisdiksjonene. Det britiske rammeverkets fokus på å opprettholde viktige forretningstjenester gjennom en antatt forstyrrelse reduserer ikke behovet for å ha sterke kontrollmekanismer for IT-styring på plass. 

Det er også viktig å huske at DORA er primær lovgivning, og ikke et kontrollrammeverk, slik som de andre tilnærmingene som er drøftet her. Når DORA ferdigstilles på politisk nivå, vi det være opp til EUs finansmyndigheter å finne ut hvordan de vil føre tilsyn med implementeringen av DORAs risikostyring og rapporteringskrav knyttet til IT. Det blir disse beslutningene om tilsyn som i stor grad vil avgjøre nøyaktig hvor forenlige de to rammeverkene vil bli for et selskap med virksomhet på tvers av landegrensene. 

Med hensyn til dette offentligjorde den europeiske sentralbankens felles tilsynsmekanisme (Single Supervisory Mechanism) en koordinert uttalelse i fjor, sammen med flere lignende uttalelser fra PRA og US Fed med sikte på samarbeid om tilsyn knyttet til operasjonell motstandsdyktighet. Alle de tre myndighetsorganene har erkjent at det er en felles interesse blant tilsynsmyndighetene på dette området, og blitt enige om å samarbeide tett med hverandre når det gjelder hvordan de kan utføre arbeidet sitt. 

Denne felles interessen går utover det å gjøre det lettere å følge regelverket for selskaper som har virksomhet i flere land. En bred og felles global tilnærming bidrar til en finanssektor med økt operasjonell motstandsdyktighet der det er mindre sannsynlig at forstyrrelser i virksomheten blir til systematisk risiko, og mange myndighetsorganer har vært klare på at dette er et punkt de aksepterer og tar på alvor. 

Det vil fortsatt være håndterlige forskjeller mellom nasjonale rammeverk

Uansett hvor stor samordning man klarer å oppnå mellom ulike rammeverk, vil man aldri kunne fjerne alle forskjeller mellom etablerte regler og rettledninger i viktige jurisdiksjoner for finansielle tjenester.

Disse forskjellene vil sannsynligvis vedvare, og kan bety at selskapene må identifisere og prioritere ulike funksjoner i ulike land/områder. Selv om det kan vise seg å bli dyrere eller mer tidkrevende, gjør det ikke at det er mindre logisk med en globalt integrert tilnærming for finanskonsern. I forbindelse med ferdigstillingen av rammeverket kom britiske myndigheter med en kort uttalelse om samordning om internasjonale regelverk, der de aksepterte dette synspunktet og uttalte at “det er rimelig at ulike jurisdiksjoner vil ha ulike syn på hva de anser som kritisk eller viktig. Men så lenge prinsippene samordnes ... vil selskaper og deres tilsynsmyndigheter kunne jobbe effektivt på tvers av landegrensene.” 

Etter vår oppfatning vil mange finansielle tilsynsmyndigheter for finanssektoren innta en fleksibel holdning til bruk av rammeverket for operasjonell motstandsdyktighet. Det vil si en som gir selskapene nok frihet til å oppnå den motstandsdyktigheten som de forventer å se, på en slik måte at det virker fornuftig ut fra deres geografiske struktur. Dersom dette er tilfellet, vil ikke bruk av forskjellige internasjonale rammeverk nødvendigvis gi vesentlige ekstrakostnader og kompleksitet for selskapene. 

Dette betyr den siste utviklingen i regelverk for selskapene

Hvis vi skal reflektere over utviklingen siden i fjor, ser vi en enda større endring i tankegangen hos tilsynsmyndighetene. Dette betyr at selskaper i finanssektoren sannsynligvis vil stå overfor økende forventninger fra sine tilsynsmyndigheter til å vise at de har tenkt på operasjonell motstandsdyktighet og utarbeidet en plan for å finne og korrigere eventuelle mangler. 

Alt dette har skjedd samtidig som finanssektoren har måttet løse driftsproblemer som følge av COVID-19-pandemien. Som vi har sagt før har COVID-19 ført til en større vektlegging av operasjonell motstandsdyktighet blant tilsynsmyndighetene. Selv om sektoren har fungert relativt godt det siste året, har den ikke nødvendigvis overbevist om at den allerede er der den bør være. Etter vår erfaring tenker finansmyndighetene nå på hva de kan gjøre for å forberede sektoren på enda mer alvorlige operasjonelle trusler enn det COVID-19 har ført med seg. Det å etablere en global, ledende praksis vil sannsynligvis være en viktig del av responsen.