Delegert kommisjonsforordning (EU) 2018/389 av 27. november 2017 om utfylling av europaparlaments- og rådsdirektiv (EU) 2015/2366 med hensyn til tekniske reguleringsstandarder for sterk kundeautentisering og felles og sikre åpne kommunikasjonsstandarder
Betalingstjenestedirektivet: utfyllende bestemmelser om standarder for betalingstjenester på nett
Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication
Norsk forskrift kunngjort 6.7.2023
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 29.5.2018)
Sammendrag av innhold
Morrettsakten, Europaparlaments- og Rådsdirektiv (EU) 2015/2366 (PSD II), skal legge til rette for modernisering og effektivisering av digitale betalingstjenester, bl.a. ved å åpne for nye betalingstjenester hvor betalingstjenestetilbyder kan gis adgang til kundens betalingskonto hos annen kontotilbyder. PSD II skal samtidig øke sikkerhetsnivået ved utførelse av digitale betalingstjenester. I forlengelsen av dette fastsettes det i denne reguleringstekniske standarden utfyllende bestemmelser om sikkerhetskravene til kundeautentisering, unntak fra bruk av sterk kundeautentisering og sikkerhetskravene til kommunikasjon mellom betalingstjenestebruker, - tilbyder og kontotilbyder. Videre angis de nærmere kravene til grensesnittet kontotilbyder må gjøre tilgjengelig for betalingstjenestetilbyder. Betalingstjenestetilbyder og kontotilbyder pålegges rapporteringsplikter til tilsynsmyndighetene ved brudd på kravene i den reguleringstekniske standarden. Samtidig pålegges tilsynsmyndighetene plikter knyttet til overvåkning av grensesnitt, godkjennelse av sikkerhetsmekanismer og unntak fra bruk av sikkerhetsmekanismer.
Merknader
Rettslige konsekvenser
Når forordningen er tatt inn i EØS-avtalen, vil den gjennomføres som forskrift i norsk rett, ved inkorporasjon. Inkorporasjon betyr at det i forskrift tas inn en bestemmelse om at EU/EØS-forordningen gjelder som norsk forskrift, med de tilpasninger som følger av EØS-komitebeslutningen.
Økonomiske og administrative konsekvenser
Reglene forventes ikke å ha økonomiske eller administrative konsekvenser for myndighetene utover økte tilsynsplikter.
Reglene forventes å få betydelige økonomiske konsekvenser for kontotilbyder som må etablere åpne grensesnitt, hvilket krever endringer i IT-systemer og sikkerhetsrutiner. Kravet om å åpne grensesnittene følger imidlertid av PSD II, mens det er de nærmere kvalitetskravene som utfylles i den reguleringstekniske standarden. Reglene vil videre få mindre økonomiske konsekvenser i form av sterkere sikkerhetskrav for betalingstjenestetilbydere som utfører digitale betalingstjenester.
Sakkyndige instansers merknader
Ingen merknad
Vurdering
Reglene er EØS-relevante og akseptable.
Det vil være behov for tekniske EØS-tilpasninger vedr. ikrafttredelsestidspunkt.
Forbehold om Stortingets samtykke gjelder primært morrettsakten PSDII. Denne må være på plass for å gi hjemler til å fastsette denne forordningen, med utfyllende bestemmelser, som forskrift.
Status
Reglene er vedtatt og trådt i kraft i EU. Reglene er til vurdering av EØS/EFTA-statene for innlemmelse i EØS-avtalen.
Sammendrag av innhold
Morrettsakten, Europaparlaments- og Rådsdirektiv (EU) 2015/2366 (PSD II), skal legge til rette for modernisering og effektivisering av digitale betalingstjenester, bl.a. ved å åpne for nye betalingstjenester hvor betalingstjenestetilbyder kan gis adgang til kundens betalingskonto hos annen kontotilbyder. PSD II skal samtidig øke sikkerhetsnivået ved utførelse av digitale betalingstjenester. I forlengelsen av dette fastsettes det i denne reguleringstekniske standarden utfyllende bestemmelser om sikkerhetskravene til kundeautentisering, unntak fra bruk av sterk kundeautentisering og sikkerhetskravene til kommunikasjon mellom betalingstjenestebruker, - tilbyder og kontotilbyder. Videre angis de nærmere kravene til grensesnittet kontotilbyder må gjøre tilgjengelig for betalingstjenestetilbyder. Betalingstjenestetilbyder og kontotilbyder pålegges rapporteringsplikter til tilsynsmyndighetene ved brudd på kravene i den reguleringstekniske standarden. Samtidig pålegges tilsynsmyndighetene plikter knyttet til overvåkning av grensesnitt, godkjennelse av sikkerhetsmekanismer og unntak fra bruk av sikkerhetsmekanismer.
Merknader
Rettslige konsekvenser
Når forordningen er tatt inn i EØS-avtalen, vil den gjennomføres som forskrift i norsk rett, ved inkorporasjon. Inkorporasjon betyr at det i forskrift tas inn en bestemmelse om at EU/EØS-forordningen gjelder som norsk forskrift, med de tilpasninger som følger av EØS-komitebeslutningen.
Økonomiske og administrative konsekvenser
Reglene forventes ikke å ha økonomiske eller administrative konsekvenser for myndighetene utover økte tilsynsplikter.
Reglene forventes å få betydelige økonomiske konsekvenser for kontotilbyder som må etablere åpne grensesnitt, hvilket krever endringer i IT-systemer og sikkerhetsrutiner. Kravet om å åpne grensesnittene følger imidlertid av PSD II, mens det er de nærmere kvalitetskravene som utfylles i den reguleringstekniske standarden. Reglene vil videre få mindre økonomiske konsekvenser i form av sterkere sikkerhetskrav for betalingstjenestetilbydere som utfører digitale betalingstjenester.
Sakkyndige instansers merknader
Ingen merknad
Vurdering
Reglene er EØS-relevante og akseptable.
Det vil være behov for tekniske EØS-tilpasninger vedr. ikrafttredelsestidspunkt.
Forbehold om Stortingets samtykke gjelder primært morrettsakten PSDII. Denne må være på plass for å gi hjemler til å fastsette denne forordningen, med utfyllende bestemmelser, som forskrift.
Status
Reglene er vedtatt og trådt i kraft i EU. Reglene er til vurdering av EØS/EFTA-statene for innlemmelse i EØS-avtalen.