Framställning till riksdagen 2007/08:RRS24
Riksrevisionens styrelses framställning angående krisberedskap i betalningssystemet

Sammanfattning

Riksrevisionen har granskat regeringens och ansvariga myndigheters insatser för att förebygga och hantera tekniska hot och risker i det centrala betalningssystemet. Resultatet av granskningen har redovisats i rapporten Krisberedskap i betalningssystemet (RiR 2007:28).

I granskningen gör Riksrevisionen bedömningen att statens åtgärder för att förebygga och hantera allvarliga tekniska störningar i betalningssystemet inte är tillräckliga. Förmågan att hantera en allvarlig kris inom området bedöms vara bristfällig. Det föreligger brister i myndigheternas risk- och sårbarhetsanalyser, myndigheternas krisplanering, hantering av incidentinformation och i genomförda övningar.

Riksrevisionen visar också att ansvarsfördelningen mellan myndigheterna är otydlig och att tillsynen är svag. Vidare brister regeringen i bedömningen och samordningen av sektorns beredskapsförmåga.

Styrelsen anser att en rad omständigheter som framkommit i granskningen visar att det finns behov av åtgärder för att förbättra beredskapen för att förhindra och hantera en kris inom betalningssystemet. Styrelsen föreslår därför att riksdagen begär att regeringen säkerställer att krisberedskapen avseende det centrala betalningssystemet förbättras så att det är möjligt att förebygga och hantera tekniska hot och risker inom detta system.

Innehållsförteckning

Sammanfattning1

Innehållsförteckning2

Styrelsens förslag3

Riksrevisionens granskning4

Bakgrund4

Mål för krisberedskapen4

Granskningens syfte och bedömningsgrunder5

Riksrevisionens iakttagelser och slutsatser6

Brister i regeringens givna förutsättningar6

Myndigheternas genomförande av krishanteringen7

Sammantagna iakttagelser och slutsatser9

Sammantagna konsekvenser av identifierade brister9

Riksrevisionens rekommendationer10

Styrelsens överväganden12

Förbättrad krisberedskap inom betalningssystemet12

Styrelsens förslag13

Styrelsens förslag

Med hänvisning till de motiveringar som framförs under Styrelsens överväganden föreslår Riksrevisionens styrelse följande:

Reglering av krisberedskapen avseende betalningssystemet

Riksdagen tillkännager för regeringen som sin mening vad styrelsen anför om att regeringen bör säkerställa att krisberedskapen avseende det centrala betalningssystemet förbättras så att det är möjligt att förebygga och hantera tekniska hot och risker inom detta system.

Stockholm den 20 februari 2008

På Riksrevisionens styrelses vägnar

Eva Flyborg

Anna Aspegren

Följande ledamöter har deltagit i beslutet: Eva Flyborg (fp), Anne-Marie Pålsson (m), Carina Adolfsson Elgestam (s), Ewa Thalén Finné (m), Alf Eriksson (s), Per Rosengren (v), Margareta Andersson (c), Helena Hillar Rosenqvist (mp), Rose-Marie Frebran (kd), Leif Pettersson (s) och Lennart Hedquist (m).

Riksrevisionens granskning

Riksrevisionen har granskat regeringens och ansvariga myndigheters insatser för att förebygga och hantera tekniska hot och risker i det centrala betalningssystemet. Resultatet av granskningen har redovisats i rapporten Krisberedskap i betalningssystemet (RiR 2007:28) och publicerades i december 2007.

Bakgrund

Det svenska betalningssystemet omsätter 1 290 miljarder kronor varje dag. De allra flesta betalningar görs genom elektroniska överföringar, som är starkt beroende av att den tekniska infrastrukturen (el, tele och IT) fungerar väl. Om inte de elektroniska överföringarna fungerar avstannar stora delar av den ekonomiska aktiviteten.

Allvarliga tekniska fel kommer ofta plötsligt och kan sprida sig snabbt eftersom olika aktörer och tekniska delsystem är beroende av varandra. Det gör att inblandade parter inte alltid hinner skydda sig tillräckligt. Den tekno­logiska utvecklingen har dessutom gått snabbt och antalet aktörer har ökat. Betalningssystemet har blivit alltmer beroende av en teknik som också är öppen för storskalig manipulation. Samtidigt kvarstår risken för allvarliga olyckor, t.ex. kabel­brott och datorhaverier. Den nya tekniken kan alltså genom spridnings- och kaskadeffekter snabbt leda till betydande skador och förluster för företag och konsumenter. Ytterst kan det bli kaos i samhället om ingen kan betala.

Mål för krisberedskapen

Målen för den generella krisberedskapen bör enligt riksdagen1 vara att värna

• befolkningens liv och hälsa,

• samhällets funktionalitet

• förmågan att upprätthålla våra grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter.

Enligt riksdagen är ett fungerande samhälle beroende av ett antal samhällsviktiga verksamheter som inte får bryta samman. En av dessa verksamheter är betalningsväsendet. Det finansiella systemet ska enligt riksdagen vara effektivt och tillgodose såväl samhällets krav på stabilitet som konsumenternas intresse av ett gott skydd. Tillsynen ska bedrivas effektivt.

En bank ska enligt banklagen2 drivas på ett sådant sätt att den inte äventyrar sin förmåga att fullgöra sina förpliktelser. Finansinspektionen ska se till att bankerna följer lagarna, och om inspektionen bedömer att en bank bryter mot lagen kan den ingripa med sanktioner.

Enligt riksbankslagen3 ska Riksbanken främja ett säkert och effektivt betalningsväsende. Riksbanken ska också försörja landet med sedlar och mynt. När Riksbanken planerar och genomför sin verksamhet i fredstid ska den beakta de krav som totalförsvaret ställer.

Granskningens syfte och bedömningsgrunder

Syftet med granskningen är att bedöma om beredskapen för tekniska hot och risker i det centrala betalningssystemet är tillfredsställande. Riksrevisionen ställer följande revisionsfråga:

Är statens åtgärder tillräckliga för att allvarliga tekniska störningar inom det centrala betalningssystemet kan förebyggas eller hanteras om de inträffar?

Riksrevisionen ställer också följande delfrågor:

1. Har riksdagen och regeringen lagt fast tydliga och enhetliga mål för krisberedskapens inriktning och ambitionsnivå?

2. Är ansvarsfördelningen och samverkan så utformade att samhället på ett ändamålsenligt sätt kan förebygga eller hantera allvarliga störningar i det centrala betalningssystemet?

3. Har berörda samverkansmyndigheter säkerställt att de själva och de finansiella företagen har en tillräcklig förmåga att hantera kriser?

4. Har ansvariga myndigheter genomfört en tillfredsställande tillsyn och uppföljning?

Granskningen avgränsas till statliga insatser som gör att det centrala betalningssystemet fungerar även vid allvarliga el-, tele- och IT-störningar. Bedömningsgrunder är främst kraven i krisberedskapsförordningen (2006:942) och andra författningar samt uttalanden från riksdag och regering. Även bedömningskriterier och berättigade krav som i övrigt kan ställas på en väl fungerande krisberedskap inom det centrala betalningssystemet används i granskningen. Enligt förordningen ska myndigheterna kunna hantera även allvarliga händelser som är mindre troliga, men som skulle få omfattande konsekvenser.

Förutom Regeringskansliet granskas i första hand Finansinspektionen, Försäkringskassan, Riksgäldskontoret, Post- och telestyrelsen samt Krisberedskapsmyndigheten. Dessutom granskas Riksbanken och samverkansorgan mellan stat och privat sektor.

När Riksrevisionen bedömer den samlade förmågan hos regeringen och myndigheter att förebygga och hantera allvarliga störningar i betalningssystemet används regeringens och Krisberedskapsmyndighetens klassificeringar: god, god men med vissa brister, bristfällig och mycket bristfällig.

Riksrevisionens iakttagelser och slutsatser

I granskningen konstaterar Riksrevisionen att den finansiella sektorns aktiviteter när det gäller krisberedskap har utvecklats på senare år, och särskilt under 2007. Det gäller såväl sektorns samverkan som övningar och tillsyn som görs utifrån internationellt vedertagna normer. Samtliga myndigheter som Riksrevisionen har granskat är engagerade i och avsätter – i varierande omfattning – tid och resurser för krishantering. Ett ökat engagemang från Regeringskansliet kan även noteras. Riksrevisionens granskning visar emellertid att det också finns ett antal avgörande brister i statens åtgärder för att förebygga och hantera allvarliga störningar i det centrala betalningssystemet när de inträffar.

Brister i regeringens givna förutsättningar

Otydliga mål och krav från regeringens sida

Granskningen visar att regeringen inte fastställt krav på grundläggande säkerhet och uthållighet i betalningssystemet. Detta kan enligt Riksrevisionen bidra till såväl onödiga som uteblivna investeringar i säkerhetsåtgärder hos ansvariga myndigheter och företag.

Riksrevisionen framhåller att då målen inte är tydliga och enhetliga blir det också svårare att följa upp resultat av skyddsåtgärderna, värdera effekter av åtgärderna och få en samlad lägesbild. Otydliga mål försvårar därmed möjligheterna för myndigheterna att kunna förbereda och inrikta beredskapsåtgärder på ett effektivt sätt.

Ansvarsförhållandena och samverkan har svagheter

Granskningen visar att ett stort antal myndigheter har ett ansvar för den finansiella sektorns krisberedskap. Ingen myndighet har fått – eller anser sig ha – ett entydigt övergripande och samlat ansvar för ledning, planering, samverkan och uppföljning av krisberedskapsåtgärder inom betalningssystemet. Det statliga ansvaret för informationssäkerhet och incidenthantering inom den finansiella sektorn är dessutom uppsplittrat mellan flera myndigheter.

Regeringen har inte heller beslutat att det ska finnas en ”tjänsteman i beredskap” för den finansiella sektorn även om detta har gjorts för många andra samhällssektorer. En sådan tjänsteman har enligt krisberedskapsförordningen i uppgift att initiera och samordna det inledande arbetet för att upptäcka, verifiera, larma och informera vid allvarliga brister.

Den finansiella sektorns privat-offentliga samverkan har breddats och intensifierats. Av granskningen framgår dock att sekretessproblem försvårar samarbete mellan myndigheter och näringsliv. Myndigheternas samverkan försvåras även av otydliga mål för det arbetet. Dessutom gäller formellt sett inte krisberedskapsförordningen för Riksbanken.

Sammantaget anser Riksrevisionen att det finns vissa kvarstående brister i ansvarsfördelningen mellan myndigheter och i samverkansformer. Det finns oklarheter i ansvarsförhållanden och uppgifter som bidrar till att det saknas en samlad bild av hot, risker, sårbarheter och konsekvenser. Detta har enligt Riksrevisionen även bidragit till att myndigheterna ännu inte har samordnat sina förberedande åtgärder tillräckligt. De har inte heller kunnat enas om gemensamma krav på myndigheter och andra aktörer utanför den finansiella sektorn som har en direkt påverkan på sektorns operativa förmåga.

Uppföljning och tillsyn

I granskningen konstateras att det har utvecklats ett omfattande rapporteringsflöde som gäller krisberedskap, bl.a. genom Krisberedskapsmyndighetens försorg. Enligt Riksrevisionen är dock uppföljningen alltför uppsplittrad, och det saknas en genomarbetad strategi för hur den ska genomföras. Riksrevisionen anser att bedömningen av beredskapsförmågan främst bygger på en personberoende värdering inom varje myndighet, utan tillräckligt stöd från definierade begrepp.

Enligt granskningen är resultatet av myndigheternas tillsyn inte heller integrerat i myndigheternas övergripande rapportering om risker och sårbarheter. Redovisningen är också i sig relativt knapphändig.

Granskningen visar också att det inte finns någon tydlig samordning av informationshanteringen i Regeringskansliet. Detta innebär enligt Riksrevisionen att det blir svårare för regering och riksdag att få en heltäckande bild av beredskapen i det centrala betalningssystemet och svårare att jämföra myndigheternas skyddsåtgärder och bedömningar mellan olika år.

Riksrevisionen framhåller att en felaktig bild av krisberedskapen inom betalningssystemet ökar risken för felaktiga prioriteringar, ineffektiva investeringar i förebyggande åtgärder eller andra säkerhetsåtgärder.

Myndigheternas genomförande av krishanteringen

Risk- och sårbarhetsanalyser

I granskningen visas att det inte finns någon samlad bild av hot, risker och sårbarheter inom det centrala betalningssystemet som uppfyller krisberedskapsförordningens krav. Finansinspektionen har ställt samman en analys som har karaktären av samlad riskbedömning. Den saknar dock fördjupade analysresultat från el-, tele- och IT-området samt resultat från de fördjupade analyser som Riksbanken gör. Flera typer av hot har inte analyserats, och sannolikhetsbedömningar saknas överlag. Analyser av åtgärder är ofullständiga. Regeringen kan därför inte heller sammanställa en nationell bild av samhällets krishanteringsförmåga eftersom hanteringen av den information som finns inte är tillräckligt väl organiserad.

Riksrevisionen pekar på att en förklaring till dessa brister kan vara att myndigheterna anser att sekretesslagen är otillräcklig för att förhindra att grundläggande information om sårbarheter inom det egna ansvarsområdet lämnas ut till andra. Aktörerna har inte heller utvecklat civilrättsligt bindande sekretessavtal och tillämpat dessa i samverkansaktiviteterna.

Granskningen visar också att myndigheterna tycker att betalningssystemet är ett svårt område att analysera. Trots detta har inga initiativ till forskning tagits. En annan förklaring till de bristande risk- och sårbarhetsanalyserna som framkommit i granskningen kan vara att olika professioner ännu inte kunnat enas om ett gemensamt sätt att se på risker.

Riksrevisionen framhåller att konsekvenserna av bristande risk- och sårbarhetsanalyser blir att det inte är säkerställt att de förebyggande åtgärder som vidtagits av ansvariga myndigheter och institut är tillräckliga för att kunna förhindra omfattande skadeverkningar för medborgare, företag och samhälle vid en kris i det centrala betalningssystemet.

Icke säkerställd operativ förmåga i ett krisläge

Riksrevisionen bedömer att myndigheternas övningsverksamhet inte i tillräcklig utsträckning speglar de omvärldsförhållanden som kan förväntas råda i samband med omfattande tekniska störningar i betalningssystemet. Det genomförs inte heller krisövningar där samhällsviktiga finansiella institutioner inklusive regeringen övar tillsammans. Aktörerna har inte heller förberett sig och övat tillsammans i tillräcklig omfattning för att det ska gå att säkerställa att krisledningarna fungerar tillsammans om en kris inträffar. Detta gäller enligt Riksrevisionen särskilt händelseförlopp som kan få allvarliga skadeverkningar för medborgare, företag och samhälle.

Riksrevisionen påpekar att om genomtänkta förberedelser saknas riskeras omfattande skadliga konsekvenser. Vid en kris i det centrala betalningssystemet ställs det stora krav på snabbt agerande och att inte onödig tid går åt till sådant som kunnat klaras av innan störningarna inträffade. Bristande förberedelser ökar också riskerna för konflikter kring vem ska göra vad och att det blir personal utan tillräcklig kompetens som får hantera en krissituation.

Myndigheternas genomförande av tillsynen

Granskningen visar att tillsynen och övervakningen av tekniska risker inom betalningssystemet är svag. Varken Finansinspektionen, Riksbanken eller Post- och telestyrelsen har verifierat bankernas och teleoperatörernas riskbedömningar på senare år. Riksrevisionen pekar på att det inte finns några föreskrifter om skyddsåtgärder mot tekniska hot och brister. Myndigheterna utnyttjar inte sina föreskriftsrättigheter på detta område. Detta beror enligt myndigheterna på att man inte anser sig ha tillräckligt lagstöd för att avkräva bankerna en viss föreskriven säkerhet. Finansinspektionen anser sig t.ex. inte kunna meddela sanktioner som håller i domstol. Då krävs enligt inspektionen att regeringen definierar grundläggande säkerhetskrav.

Gemensamt för tillsynen inom Riksbanken, Finansinspektionen samt Post- och telestyrelsen är att myndigheterna samtidigt som man ska bedriva tillsyn också vill främja goda kontakter med den privata sektorn. Riksrevisionen anser dock att det är rimligt att tillsynen via inspektioner på plats och stickprov faktiskt kontrollerar att bankerna har infört de skyddsåtgärder man säger sig ha och att kontrollsystemet faktiskt fungerar som det är tänkt.

Sammantagna iakttagelser och slutsatser

Granskningen visar att regeringen inte har organiserat och samordnat hanteringen av risk- och sårbarhetsanalyser och annan uppföljningsinformation på ett sådant sätt att allt underlag som efterfrågas låter sig sammanställas till en nationell bild av krishanteringsförmågan. Det finns även brister i den tillsyn som bedrivits. Nuvarande underlag uppfyller inte heller krisberedskapsförordningens krav.

Ett sådant underlag borde enligt Riksrevisionen innehålla bedömningar av sannolikheter för och konsekvenser av tänkbara händelser samt analyser av samhällets kostnader för omfattande avbrott i betalningssystemet. Inte heller har regeringen fastställt vilken uthållighet och vilka grundläggande säkerhetskrav som betalningssystemet och dess infrastruktur ska uppfylla. Regeringen har därmed varken en norm att utgå ifrån eller tillräckligt underlag för att kunna bedöma rimligheten i skyddsåtgärdernas omfattning och betalningssystemets robusthet i förhållande till samhällets kostnader för omfattande avbrott i betalningarna. Riksrevisionen anser därför att regeringen saknar nödvändiga förutsättningar för att kunna bedöma om det vidtagits rimliga förebyggande åtgärder inom betalningssystemet.

Riksrevisionen bedömer att statens åtgärder inte heller ger tillräckliga förutsättningar för att hantera allvarliga tekniska störningar i betalningssystemet om de inträffar. Ingen myndighet har fått ett entydigt övergripande och samlat ansvar för ledning, planering, samverkan och uppföljning, och incidenthanteringen inom den finansiella sektorn är uppsplittrad mellan flera myndigheter. Regeringen har inte beslutat att funktionen ”Tjänsteman i beredskap” ska finnas inom den finansiella sektorn. Granskningen visar också att myndigheterna och privata aktörer inte har förberett sig tillräckligt genom krisplanering, övningar och andra typer av förberedelser så att skadeverkningarna för medborgare och samhälle kan begränsas när en allvarlig störning inträffar.

Riksrevisionen bedömer därför att förmågan att förebygga och hantera allvarliga störningar inom det centrala betalningssystemet är bristfällig.

Sammantagna konsekvenser av identifierade brister

I granskningen har framkommit brister i underlaget för att bedöma om motståndskraften i betalningssystemet är tillräcklig för att förhindra allvarliga betalningsstörningar. Därmed blir det också svårt att avgöra om den aktuella risknivån är acceptabel eller inte ur samhällets synvinkel.

Även om de grundläggande förutsättningar som Riksrevisionen identifierat saknas och många brister finns i de förberedelser som myndigheter har vidtagit kan Riksrevisionen inte utesluta att det finns förmåga inom sektorn att hantera en allvarlig störning om den skulle inträffa.

Eftersom en allvarlig störning ännu inte har inträffat måste en bedömning av förmåga baseras på de förberedelser som gjorts i ett antal grundläggande avseenden. Riksrevisionen bedömer således att förmågan att förebygga och hantera allvarliga störningar inom det centrala betalningssystemet är bristfällig.

Riksrevisionens rekommendationer

Riksrevisionen vill fästa riksdagens uppmärksamhet på behovet av att överväga en ändring av lagen (1988:1385) om Sveriges riksbank i syfte att bestämmelserna i förordningen (2002:942) om krisberedskap och höjd beredskap ska gälla för Riksbanken.

Riksrevisionen rekommenderar regeringen följande.

– Regeringen bör fastställa vilka grundläggande säkerhetskrav som ska gälla för betalningssystemet och dess nödvändiga infrastruktur. Regeringen bör också fastställa hur uthålligt betalningssystemet måste vara.

– Regeringen bör fastställa vilken myndighet, exempelvis Finansinspektionen, som har det övergripande krisberedskapsansvaret för betalningssystemet och incidentbevakningen samt föreslå riksdagen i vilka avseenden Riksbanken ska ha ansvar för krisberedskapen. Regeringen bör också precisera samverkansområdenas arbete och sammansättning.

– Regeringen bör se över hur krisberedskapen inom betalningssystemet följs upp. Här ingår att utse en central samordnare för all information om betalningssystemets krisberedskap och att kräva att myndigheterna återrapporterar all väsentlig information. Då blir det möjligt att göra en samlad analys av krisberedskapen inom betalningssystemet. Regeringen bör också se över tillsynen inom betalningssystemet. Här ingår att undersöka vilken teknisk kompetens som behövs, om föreskrifter behövs och hur myndigheterna bör redovisa resultatet av tillsynen.

– Regeringen bör säkerställa att analyser och sårbarheter i det centrala betalningssystemet görs och att dessa analyser uppfyller krisberedskapsförordningens krav. Regeringen bör också se över hanteringen av sekretessbelagda uppgifter och överväga att ge en myndighet föreskriftsrätt över hur risk- och sårbarhetsanalysering ska utformas och följas upp.

– Regeringen bör se över hur myndigheter och institut förbereder sig för en akut allvarlig störning i betalningssystemet. Bl.a. behöver en långsiktig strategi för gemensamma övningar utarbetas och funktionen Tjänsteman i beredskap etableras inom den finansiella sektorn. En sådan funktion har regeringen beslutat ska finnas inom många andra samhällsområden där en god förmåga att hantera kriser är av stor vikt. Regeringen bör också se över ledningsansvaret för krisförberedelserna och behovet av en förberedd gemensam ledningsorganisation och en central ledningsplats inom sektorn.

Riksrevisionen rekommenderar myndigheterna följande.

– Myndigheterna bör se till att deras risk- och sårbarhetsanalyser uppfyller krisberedskapsförordningens krav och beakta den kritik som framkommit i Krisberedskapsmyndighetens genomgångar av risk- och sårbarhetsanalyserna. I samband med detta bör myndigheterna sammanställa all information som finns tillgänglig inom den egna organisationen inklusive tillsynsenheterna. Myndigheterna ska också se till att analysen täcker hela myndighetens ansvarsområde. Riksgäldskontoret ska exempelvis se till att analysen täcker det statliga betalningssystemet i sin helhet.

– Myndigheterna bör komplettera sina krisplaner med åtgärder som behövs för att kunna samverka med andra aktörer som kan bidra till att höja beredskapen i betalningssystemet.

– Riksbanken, Finansinspektionen och Post- och telestyrelsen bör via inspektioner på plats och genom stickprov faktiskt kontrollera att bankerna och infrastrukturföretagen har infört de skyddsåtgärder man säger sig ha och att kontrollsystemet faktiskt fungerar som det är tänkt.

– Finansinspektionen bör använda sin föreskriftsrätt och sina sanktionsmöjligheter så att brister i skyddet och regelbrott får konsekvenser för instituten och så att möjligheter skapas att få prövat i domstol hur långt skyldigheten enligt gällande lagar sträcker sig hos bankerna i principiellt viktiga fall.

Styrelsens överväganden

Riksrevisionens styrelse har funnit att slutsatserna i den granskning som genomförts av krisberedskapen mot tekniska hot och risker i det centrala betalningssystemet bör överlämnas till riksdagen i form av en framställning. I anslutning härtill vill styrelsen anföra följande.

Styrelsen vill inledningsvis framhålla den stora betydelse det centrala betalningssystemet har för samhället. Det finansiella systemet måste vara effektivt och stabilt för att samhällets funktion ska kunna upprätthållas. De allra flesta betalningar görs genom elektroniska överföringar, och om dessa inte fungerar avstannar stora delar av den ekonomiska aktiviteten och stora förluster kan uppstå för enskilda, företag och samhälle. Detta innebär att alla nivåer inom betalningssystemet behöver ha en god krishanteringsförmåga. Inom systemet finns flera aktörer, t.ex. individer, företag, myndigheter, regering och riksdag. Det offentliga har dock huvudansvaret för beredskapen i samhället, så också inom det centrala betalningssystemet.

Styrelsen noterar att det konstaterats i granskningen att den finansiella sektorns aktiviteter när det gäller krisberedskap har utvecklats under senare år, liksom att engagemanget från Regeringskansliet har ökat. Den interna organisationen inom Regeringskansliet är under förändring, och regeringen har också aviserat att en ny samlad myndighet mot olyckor och kriser ska inrättas den 1 januari 2009. Regeringen har vidare lämnat uppdrag avseende krisberedskapen till Finansinspektionen och Riksgäldskontoret i myndigheternas regleringsbrev för 2008. Finansinspektionen ska redovisa de initiativ som tagits eller planeras med anledning av de rekommendationer som lämnats av Riksrevisionen avseende krisberedskapen inom det centrala betalningssystemet. Redovisningen ska även ange hur arbetet med beredskapsplaneringen bedrivs i förhållande till Riksbanken, bl.a. med avseende på kontantförsörjningen. Riksgäldskontoret ska analysera riskerna och sårbarheterna i den statliga betalningsmodellen. Analysen ska innehålla en beskrivning av processerna och en kartläggning av riskerna i den statliga betalningsmodellen. Båda uppdragen ska redovisas senast den 31 maj 2008.

Styrelsen anser, trots det pågående arbetet inom området, att de iakttagelser som Riksrevisionen gjort i granskningen är av sådant slag att det finns anledning för riksdagen att begära att regeringen säkerställer att krisberedskapen inom det centrala betalningssystemet förbättras.

Förbättrad krisberedskap inom betalningssystemet

Styrelsen anser att en rad omständigheter som framkommit i granskningen visar att det finns behov av åtgärder för att förbättra beredskapen för att förhindra och hantera en kris inom det centrala betalningssystemet.

Av granskningen framgår att varken regeringen eller myndigheterna har tillräckligt underlag för att kunna bedöma om de åtgärder som vidtas avseende beredskapen inom det centrala betalningssystemet räcker för att förebygga eller hantera allvarliga störningar i systemet. Av granskningen framgår också att regeringen inte har fastställt vilka grundläggande säkerhetskrav som betalningssystemet och dess infrastruktur ska uppfylla eller hur uthålligt systemet måste vara. Styrelsen anser att sådana krav bör fastställas av regeringen. Utan sådana krav är det svårt att veta om de åtgärder som vidtas är effektiva och verkligen är till nytta.

Styrelsen anser samtidigt att informationen om den beredskap som finns för att förhindra och hantera en kris inom betalningssystemet måste förbättras. Självfallet måste det gå att bedöma huruvida den nuvarande risknivån inom systemet är acceptabel. En överskattad uppfattning om den egna förmågan att förebygga och hantera en kris kan enligt styrelsens uppfattning leda till att ansvariga myndigheter och företag, men också enskilda, inte är tillräckligt förberedda. Detta kan få till följd att skadorna av en kris inom det centrala betalningssystemet blir mer omfattande än nödvändigt.

Av granskningen framgår också att regeringen inte har utsett någon myndighet som har ett samlat ansvar för krisberedskapen, något som enligt styrelsens uppfattning sannolikt bidrar till att det är svårt att få en nationell bild av krishanteringsförmågan och leder till brister i samordningen. Styrelsen anser att regeringen bör överväga att utse en myndighet som får ett samlat ansvar för krisberedskapen inom betalningssystemet, såsom har gjorts för andra beredskapsområden. Även ansvarsfördelningen mellan myndigheterna bör övervägas, t.ex. mellan Riksbanken och Finansinspektionen.

I granskningen har också visats att uppföljningen av beredskapsläget är uppsplittrad och att tillsynen är dålig samt att informationshanteringen inte är samordnad. Styrelsen anser att förutsättningarna för att detta ska kunna förbättras ökar med en myndighet som har ett samlat ansvar för krisberedskapen.

Styrelsen anser slutligen att de sekretessproblem mellan myndigheter och privata aktörer som enligt granskningen leder till bristande samarbete och information också bör övervägas av regeringen.

Styrelsens förslag

Mot bakgrund av dessa överväganden förslår styrelsen att riksdagen begär att regeringen säkerställer att krisberedskapen avseende det centrala betalningssystemet förbättras så att det är möjligt att förebygga och hantera tekniska hot och risker inom detta system.

Elanders, Vällingby 2008

[1]	Prop. 2005/06:133 Samverkan i kris – för ett säkrare samhälle (bet. 2005/06:FöU9).
[2]	Lag (2004:297) om bank- och finansieringsrörelse.
[3]	Lag (2003:1385) om Sveriges riksbank.