Kapitel 32 a It-drift af et detailbetalingssystem
It-drift af et detailbetalingssystem, der opfylder betingelserne i § 177, stk. 2, må ikke påbegyndes, før Finanstilsynet har meddelt it-operatøren tilladelse hertil.
Stk. 2 Tilladelse efter stk. 1 meddeles, når
-
1) it-operatøren har etableret en virksomhed med hjemsted i Danmark,
-
2) medlemmer af ansøgerens bestyrelse og direktion eller indehaveren af en it-operatør af et detailbetalingssystem, der er en enkeltmandsvirksomhed, opfylder kravene i §§ 180 e og 180 f og
-
3) ansøgeren opfylder kravene i §§ 180 c-180 i.
Stk. 3 En ansøgning om tilladelse efter stk. 1 skal indeholde de oplysninger, der er nødvendige for Finanstilsynets vurdering af, om ansøgeren på tidspunktet for tilladelsen opfylder kravene i §§ 180 c-180 i, herunder en driftsplan for it-driften af detailbetalingssystemet, en organisationsplan, forretningsgange for it-driften af detailbetalingssystemet, politikker for it-sikkerhed og -risikostyring og beredskabs- og forretningskontinuitetsplaner. Påtænker en virksomhed at outsource væsentlige processer, tjenesteydelser eller aktiviteter, skal ansøgningen også indeholde en outsourcingpolitik.
Stk. 4 Tilladelse eller afslag på tilladelse skal meddeles ansøgeren senest 6 måneder efter modtagelse af en fuldstændig ansøgning. Finanstilsynet skal uanset 1. pkt. træffe afgørelse senest 12 måneder efter ansøgningens modtagelse. Har Finanstilsynet ikke senest 6 måneder efter modtagelse af en fuldstændig ansøgning om tilladelse truffet afgørelse, kan ansøgeren indbringe sagen for domstolene.
Stk. 5 Drives en it-operatør af et detailbetalingssystem som en juridisk person uden en bestyrelse eller direktion, finder stk. 2, nr. 1, og stk. 3 tilsvarende anvendelse for den eller de ledelsesansvarlige.
Finanstilsynet kan inddrage en tilladelse efter § 180 a, når
-
1) it-operatøren udtrykkeligt giver afkald på at gøre brug af tilladelsen,
-
2) it-driften af detailbetalingssystemet ikke er påbegyndt, senest 12 måneder efter at tilladelsen er meddelt,
-
3) it-driften af detailbetalingssystemet ikke udøves i en periode på over 6 måneder,
-
4) it-operatøren har opnået tilladelsen ved brug af urigtige erklæringer eller på anden uretmæssig vis,
-
5) it-operatøren ikke længere opfylder de betingelser, hvorpå tilladelsen blev meddelt,
-
6) der er rejst tiltale mod indehaveren af en it-operatør af et detailbetalingssystem, der er en enkeltmandsvirksomhed, for overtrædelse af straffeloven, den finansielle lovgivning eller anden relevant lovgivning, indtil straffesagen er afgjort, hvis en domfældelse vil indebære, at vedkommende ikke opfylder kravene i § 180 e, stk. 1, nr. 3, eller
-
7) it-operatøren groft eller gentagne gange tilsidesætter sine pligter efter denne lov eller regler fastsat i medfør heraf eller påbud i henhold til kapitel 37.
Stk. 2 Inddragelse af tilladelse i henhold til stk. 1, nr. 5, på baggrund af manglende opfyldelse af kravene i § 180 e, stk. 1, nr. 2-5, eller § 180 f og inddragelse af tilladelse i henhold til stk. 1, nr. 6, kan af indehaveren af en it-operatør af et detailbetalingssystem, der er en enkeltmandsvirksomhed, forlanges indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, senest 4 uger efter at inddragelse af tilladelse er meddelt den pågældende. Finanstilsynet indbringer sagen for domstolene inden 4 uger efter modtagelse af anmodning herom. Sagen anlægges i den borgerlige retsplejes former.
Bestyrelsen i en it-operatør af et detailbetalingssystem skal sikre en effektiv og forsvarlig ledelse af it-operatøren. Bestyrelsen skal herunder vurdere, om direktionen varetager sine opgaver i forbindelse med it-driften af detailbetalingssystemet på en betryggende måde og i overensstemmelse med it-operatørens forpligtelser i medfør af § 180 g.
Stk. 2 Drives en it-operatør af et detailbetalingssystem som en juridisk person uden en bestyrelse, finder stk. 1 tilsvarende anvendelse for det øverste ledelsesorgan.
Stk. 3 Drives en it-operatør af et detailbetalingssystem som enkeltmandsvirksomhed, skal indehaveren sikre en effektiv og forsvarlig ledelse af it-operatøren.
Bestyrelsen i en it-operatør af et detailbetalingssystem skal sikre, at dens medlemmer har tilstrækkelig kollektiv viden, faglig kompetence og erfaring til at kunne forstå it-operatørens aktiviteter og de hermed forbundne risici, jf. dog stk. 3.
Stk. 2 Drives en it-operatør af et detailbetalingssystem som en juridisk person uden en bestyrelse, finder stk. 1 tilsvarende anvendelse for det øverste ledelsesorgan.
Stk. 3 Stk. 1 gælder ikke for it-operatører af detailbetalingssystemer, der er enkeltmandsvirksomheder.
Et medlem af bestyrelsen eller direktionen i en it-operatør af et detailbetalingssystem eller indehaveren af en it-operatør af et detailbetalingssystem, der er en enkeltmandsvirksomhed,
-
1) skal have tilstrækkelig viden, faglig kompetence og erfaring til at kunne varetage hvervet eller stillingen,
-
2) skal have tilstrækkelig godt omdømme og kunne udvise hæderlighed, integritet og tilstrækkelig uafhængighed ved varetagelsen af hvervet eller stillingen,
-
3) må ikke være pålagt strafansvar for overtrædelse af straffeloven, den finansielle lovgivning eller anden relevant lovgivning, hvis overtrædelsen indebærer risiko for, at vedkommende ikke kan varetage sit hverv eller sin stilling på betryggende måde,
-
4) må ikke have indgivet begæring om eller være under rekonstruktionsbehandling, konkurs eller gældssanering og
-
5) må ikke have udvist en sådan adfærd, at der er grund til at antage, at vedkommende ikke vil varetage hvervet eller stillingen på forsvarlig måde.
Stk. 2 Et medlem af bestyrelsen eller direktionen i en it-operatør af et detailbetalingssystem skal meddele Finanstilsynet oplysninger om forhold som nævnt i stk. 1 i forbindelse med indtræden i virksomhedens ledelse og om forhold som nævnt i stk. 1, nr. 2-5, hvis forholdene efterfølgende ændres. En it-operatør af et detailbetalingssystem, der er en enkeltmandsvirksomhed, skal meddele Finanstilsynet oplysninger om forhold som nævnt i stk. 1 i forbindelse med ansøgning om tilladelse, jf. § 180 a, og om forhold som nævnt i stk. 1, nr. 2-5, hvis forholdene efterfølgende ændres.
Et medlem af bestyrelsen eller direktionen i en it-operatør af et detailbetalingssystem eller indehaveren af en it-operatør af et detailbetalingssystem, der er en enkeltmandsvirksomhed, skal afsætte tilstrækkelig tid til at varetage hvervet eller stillingen i den pågældende it-operatør.
Stk. 2 Drives en it-operatør af et detailbetalingssystem som en juridisk person uden en bestyrelse eller en direktion, finder stk. 1 tilsvarende anvendelse for den eller de ledelsesansvarlige.
En it-operatør af et detailbetalingssystem er ansvarlig for, at it-driften af det pågældende detailbetalingssystem udføres på en betryggende måde.
Stk. 2 En it-operatør af et detailbetalingssystem skal
-
1) kunne styre de risici, som it-driften af detailbetalingssystemet indebærer, herunder kunne påvise alle væsentlige risici, og indføre effektive foranstaltninger til at modvirke disse risici og
-
2) have betryggende kontrol- og sikringsforanstaltninger på it-området.
Stk. 3 Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. stk. 2, nr. 2. Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler m.fl.
§§ 56-58 a og 62 finder tilsvarende anvendelse for en it-operatør af et detailbetalingssystem. Bekendtgørelse om outsourcing for kreditinstitutter m.v.