FINANSINSPEKTIONENS FÖRESKRIFTER

FFFS 2024:5 Clearing och avveckling av betalningar

? av ?

1 kap. Inledande bestämmelser

Tillämpningsområde

1 §Dessa föreskrifter innehåller bestämmelser om clearingbolag.

2 §Föreskrifterna gäller också för filialer till utländska clearingbolag.

Det som anges om styrelsen i dessa föreskrifter ska för filialer i stället avse den verkställande direktören. Det som anges om clearingbolag och aktiebolag ska då avse filialer till utländska clearingbolag.

Sådana bestämmelser som rör stiftelseurkund och bolagsordning i 2 kap. gäller dock inte för filialer till utländska clearingbolag.

3 §I föreskrifterna finns bestämmelser om följande:

  • tillstånd (2 kap.),

  • styrning och riskhantering (3 kap.),

  • informations-, it- och cybersäkerhet (4 kap.),

  • beredskap (5 kap.),

  • kapital (6 kap.), och

  • uppdragsavtal (7 kap.).

Proportionalitet

4 §Bestämmelserna i 3–5 och 7 kap. ska tillämpas proportionellt i förhållande till arten, omfattningen och komplexiteten av riskerna i varje clearingbolags verksamhet.

Definitioner

5 §Termer och uttryck som används i föreskrifterna har samma betydelse som i lagen (2024:114) om clearing och avveckling av betalningar.

Därutöver betyder

  1. funktion: en enhet eller en avdelning som består av en eller flera personer med uppdrag att utföra en eller flera uppgifter inom verksamheten,

  2. incident: en händelse som har eller riskerar att få negativ påverkan på bolagets verksamhet, tillgångar eller förtroende,

  3. informationssäkerhet: skydd av konfidentialitet, riktighet och tillgänglighet hos information,

  4. interna regler: policy- och styrdokument, riktlinjer, instruktioner eller andra skriftliga dokument genom vilka ett bolag styr sin verksamhet,

  5. it-verksamhet: ett bolags organisation, processer och personal för att hantera it-system,

  6. konfidentialitet: förhållandet att information inte görs tillgänglig eller avslöjas för obehöriga,

  7. kontrollfunktion: en funktion för riskkontroll, regelefterlevnad eller internrevision,

  8. process: en kedja av sammanhängande aktiviteter som utifrån en viss resursinsats producerar ett resultat,

  9. riktighet: egenskap hos information som innebär att informationen inte förändras obehörigen, av misstag eller på grund av funktionsstörning,

  10. spårbarhet: en möjlighet att entydigt kunna härleda utförda aktiviteter och vilken person eller systemfunktion som har utfört dessa, och

  11. tillgänglighet: en möjlighet att kunna använda information i förväntad utsträckning och inom önskad tid.

2 kap. Tillstånd

Ansökan om tillstånd för clearingverksamhet

1 §En ansökan om tillstånd att bedriva clearingverksamhet ska vara utformad på det sätt och ha det innehåll som framgår av 2–6 §§.

Beskrivning av verksamheten

2 §Den beskrivning av den planerade verksamheten som enligt 2 kap. 9 § lagen (2024:114) om clearing och avveckling av betalningar ska finnas i en ansökan om tillstånd att bedriva clearingverksamhet, ska omfatta

  1. en förteckning över de personer som ska ingå i aktiebolagets styrelse eller vara verkställande direktör, eller vara ersättare för någon av dem,

  2. en schematisk översikt av hur verksamheten ska organiseras som innefattar en redogörelse för

    1. de olika funktionerna,

    2. vem som är ansvarig för respektive funktion,

    3. hur många personer som ska vara verksamma inom dessa funktioner, samt

    4. de åtgärder och uppgifter som utförs inom respektive funktion,

  3. en redogörelse för hur de kontrollfunktioner som anges i 6 kap. 1 § Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i kreditinstitut, ska vara utformade och hur deras arbete ska bedrivas,

  4. flödesscheman över de väsentliga processer som finns för clearingverksamheten,

  5. en beskrivning av de väsentliga risker som verksamheten är förknippad med, samt hur dessa ska hanteras genom kontroller och andra åtgärder,

  6. en uppgift om huruvida aktiebolaget avser att uppdra åt någon annan att utföra uppgifter som är av betydelse för clearingverksamheten och i så fall en beskrivning av

    1. arten och omfattningen av uppdraget, och

    2. hur aktiebolaget avser att fullgöra sina skyldigheter enligt 7 kap.,

  7. en redogörelse för aktiebolagets hantering av informationssäkerhet och it-verksamhet som innefattar

    1. hur den ska vara organiserad, styras och följas upp, och

    2. de väsentliga it-systemens funktioner och användningsområden,

  8. en beskrivning av

    1. reglerna för clearingverksamheten enligt 3 kap. 1 § andra stycket lagen om clearing och avveckling av betalningar, och

    2. de regler eller avtalsvillkor som reglerar deltagandet i clearingverksamheten enligt 4 kap. 1 § lagen om clearing och avveckling av betalningar,

  9. en uppgift om huruvida aktiebolaget avser att bedriva sidoverksamhet och i så fall en beskrivning av den verksamheten,

  10. en redogörelse för hur aktiebolaget avser att finansiera verksamheten,

  11. en prognos för de tre närmast kommande verksamhetsåren som omfattar

    1. balans- och resultaträkningar, och

    2. en beräkning av hur stort det egna kapitalet minst ska vara enligt 6 kap. 1 §, och

  12. de antaganden som prognosen enligt 11 bygger på samt vilken påverkan ändrade antaganden, inbegripet ändrade betalningsvolymer, får på angivna prognoser och på beräkningarna av det egna kapitalet.

Övriga uppgifter och handlingar som ska lämnas in

3 §Ett aktiebolag ska tillsammans med ansökan lämna skriftliga uppgifter om

  1. bolagets innehav av aktier eller andelar i andra företag, och

  2. huruvida bolaget är part i en pågående domstolsprocess eller ett skiljeförfarande och, om så är fallet, närmare uppgifter om detta.

4 §Ett aktiebolag ska tillsammans med ansökan också lämna skriftliga uppgifter om de personer som avses i 2 § 1. Uppgifterna ska lämnas enligt bilaga 2 till Finansinspektionens föreskrifter (FFFS 2023:12) om ägar-, ägarlednings- och ledningsprövning i vissa finansiella företag.

Det följer av 5 § Finansinspektionens föreskrifter om ägar-, ägarlednings- och ledningsprövning i vissa finansiella företag att uppgifter även ska lämnas om fysiska och juridiska personer med ett kvalificerat innehav i aktiebolaget och ledningspersoner för en sådan juridisk person.

5 §Ett aktiebolag ska tillsammans med ansökan ge in följande handlingar:

  1. En stiftelseurkund för bolaget, om det inte är registrerat i aktiebolagsregistret.

  2. Bolagets bolagsordning.

  3. Ett underlag som visar att bolaget kommer att ha det egna kapital som krävs enligt 6 kap. 1 §.

  4. Utkast till de interna regler som ska finnas för verksamheten enligt dessa föreskrifter.

Om aktiebolaget har ingått ett uppdragsavtal som gäller uppgifter som är av betydelse för clearingverksamheten, ska bolaget ge in avtalet tillsammans med ansökan.

6 §Ett aktiebolag som bedriver verksamhet sedan tidigare ska, utöver de handlingar som anges i 4 §, tillsammans med ansökan ge in kopior av fastställda årsredovisningar för de tre senaste räkenskapsåren.

En filial till ett utländskt clearingbolag som inte är skyldig att upprätta en årsredovisning, ska i stället ge in kopior av årsbokslut som avser de tre senaste räkenskapsåren.

7 §En ansökan ska undertecknas av alla stiftare eller styrelseledamöter och innehålla en försäkran att de inte är i konkurs eller har näringsförbud och att de inte heller har förvaltare enligt 11 kap. 7 § föräldrabalken.

Ansökan om godkännande av ändring av bolagsordningen

8 §Ett clearingbolag som ansöker om godkännande av en ändring av bolagsordningen enligt 2 kap. 5 § andra stycket lagen (2024:114) om clearing och avveckling av betalningar ska tillsammans med ansökan ge in

  1. en kopia av bolagsstämmans protokoll med ändringsbeslutet, och

  2. den ändrade bolagsordning som bolagsstämman har beslutat om.

Ansökan ska undertecknas av behörig företrädare för clearingbolaget.

3 kap. Styrning och riskhantering

Bestämmelser i andra föreskrifter

1 §Ett clearingbolag ska tillämpa följande bestämmelser i Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i kreditinstitut:

  • 2 kap. 1, 3–6, 10 och 11 §§ om allmänna organisatoriska krav, med undantag för 1 § första stycket 8 och det som anges i 11 § om 2 och 7–9 §§,

  • 3 kap. 1, 2 och 4 §§ om styrelsens och den verkställande direktörens ansvar,

  • 4 kap. 3, 4 och 6 §§ om intressekonflikter i verksamheten,

  • 5 kap. 1 och 4–6 §§ om riskhantering, med undantag för det som anges om limiter i 1 §,

  • 6 kap. om kontrollfunktioner,

  • 7 kap. om funktion för riskkontroll, med undantag för det som anges i 3 § 8,

  • 8 kap. om regelefterlevnad, och

  • 9 kap. om funktion för internrevision.

Ett clearingbolag ska också tillämpa följande bestämmelser i Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:4) om hantering av operativa risker:

  • 5 kap. 1, 6, 7 och 10–14 §§ om hantering av operativa risker i verksamheten.

Det som anges om företag i bestämmelserna enligt första och andra styckena ska då avse clearingbolag. När det gäller filialer ska det som anges om styrelsen i stället avse den verkställande direktören.

Styrning

2 §Ett clearingbolag ska driva sin verksamhet på ett etiskt ansvarsfullt och professionellt sätt.

Bolaget ska också upprätthålla sunda yrkesmässiga värderingar, attityder och beteenden som har avgörande betydelse för hur bolaget hanterar sina risker (riskkultur).

3 §Styrelsen ska minst årligen utvärdera och, om det behövs, uppdatera de interna regler som den har beslutat om. Den verkställande direktören ska regelbundet, minst årligen, utvärdera de interna regler som den har beslutat om och om det behövs uppdatera dem.

Styrelsen ska regelbundet se över och bedöma effektiviteten i clearingbolagets organisationsstruktur, rutiner, metoder och andra åtgärder som bolaget har fattat beslut om för att följa lagar och andra författningar som reglerar bolagets tillståndspliktiga verksamhet. Styrelsen ska även vidta lämpliga åtgärder för att, i förekommande fall, korrigera brister i dessa åtgärder.

Riskhantering

4 §Ett clearingbolag ska ha interna regler för sin riskhantering som anger

  1. vilka typer av risker som bolaget i huvudsak är exponerat för,

  2. bolagets metoder och processer för att identifiera, mäta, övervaka, hantera och internt rapportera risker,

  3. hur bolaget ska utveckla och tillämpa kontroller för att motverka de risker som bolaget är exponerat för,

  4. hur kontrollerna enligt 3 ska testas och utvärderas, och

  5. bolagets rutiner för att fastställa och övervaka den nivå och den inriktning på bolagets risker som kan accepteras för att uppnå bolagets strategiska mål (riskaptiten).

5 §Ett clearingbolag ska ha metoder för att identifiera och mäta sina risker.

6 §Ett clearingbolag ska identifiera risker i sina produkter, tjänster, funktioner, processer och it-system.

7 §Ett clearingbolag ska regelbundet mäta riskerna enligt 6 §, genom att bedöma sannolikheten för att de inträffar och vilka konsekvenserna blir av detta. Bolaget ska även fastställa vilka åtgärder det ska vidta för att hantera riskerna.

8 §Ett clearingbolag ska testa och utvärdera de kontroller som bolaget har för att säkerställa att det löpande kan ha kontroll över de väsentliga risker som bolaget är exponerat för.

9 §Ett clearingbolag ska fastställa och dokumentera indikatorer med gränsvärden för sina relevanta risker som visar när dessa risker har ökat.

Clearingbolaget ska regelbundet se över och, om det behövs, uppdatera indikatorerna och gränsvärdena.

10 §Ett clearingbolag ska dokumentera sina processer enligt 5 kap. 1 § Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:4) om hantering av operativa risker, och utse en ansvarig person eller funktion för varje sådan process.

Dokumentationen av en process enligt första stycket ska innehålla uppgifter om åtminstone

  1. processens huvudsakliga aktiviteter och deras samband (flödesschema),

  2. vilka it-system som stödjer processen,

  3. när en kontroll görs och ett beslut fattas i processen,

  4. processens resultat, till exempel en tjänst, produkt eller liknande, och

  5. vilken information som används i aktiviteterna enligt 1.

Clearingbolaget ska ange i interna regler hur bolaget ska dokumentera processerna enligt första stycket och hur det ska hantera operativa risker i processerna.

Hantering av incidenter

11 §Ett clearingbolag ska ha interna regler för att hantera, dokumentera, analysera och internt rapportera de incidenter som uppstår i verksamheten. Bolaget ska rapportera allvarliga incidenter till styrelsen och den verkställande direktören.

12 §Ett clearingbolag ska efter att en allvarlig incident har inträffat, identifiera och analysera orsakerna till incidenten.

Bolaget ska, utifrån den analys som har gjorts enligt första stycket, bedöma om det finns ett behov av att förbättra it-system, processer, kontroller och beredskap samt vidta nödvändiga åtgärder.

Driftssäkerhet

13 §Ett clearingbolag ska fastställa mål för driftssäkerhet och ha ändamålsenliga interna regler för att nå dessa mål. Målen ska innefatta kvalitativa och kvantitativa mått.

Bolaget ska övervaka och regelbundet utvärdera om det uppfyller sina fastställda mål för driftssäkerhet.

14 §Ett clearingbolag ska säkerställa att det har tillräcklig kapacitet för att kunna nå sina fastställda mål för driftssäkerhet även vid ökade betalningsvolymer och i stressade situationer.

Bolaget ska regelbundet övervaka och testa kapaciteten och prestandan i de it-system som det använder i clearingverksamheten.

Bolaget ska om det behövs ta fram dels prognoser över efterfrågan på bolagets tjänster och produkter, dels lämpliga planer för att anpassa sig till förändringar i betalningsvolymen eller i fråga om tekniska krav.

4 kap. Informations-, it- och cybersäkerhet

Interna regler

1 §Ett clearingbolag ska ha interna regler för sitt arbete med informations-, it- och cybersäkerhet.

2 §De planer för informations-, it- och cybersäkerhet som ett clearingbolag ska ha enligt 3 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, ska framgå av bolagets interna regler.

Informationssäkerhet

Mål och inriktning

3 §Ett clearingbolag ska dokumentera mål och inriktning för sin informationssäkerhet. Styrelsen eller den verkställande direktören ska besluta om målen och inriktningen.

Ansvar för informationssäkerhet och samordning

4 §Ett clearingbolag ska säkerställa att det är tydligt hur ansvaret för informationssäkerheten är fördelat inom verksamheten.

5 §Ett clearingbolag ska utse en person som ansvarar för att leda och samordna arbetet med informationssäkerhet.

Klassificering av information

6 §Ett clearingbolag ska klassificera sin information för att den ska få rätt skyddsnivå. Klassificeringen ska utgå från de krav som ställs på informationens konfidentialitet, riktighet och tillgänglighet i verksamheten.

Bolaget ska dokumentera klassificeringen enligt första stycket och utse personer eller funktioner som ansvarar för den information som hanteras inom verksamheten.

Riskanalys

7 §Ett clearingbolag ska årligen och vid förändringar som har betydelse för informationssäkerheten, analysera de risker som är hänförliga till bolagets informationssäkerhet. Bolaget ska utifrån dessa analyser och inträffade incidenter besluta om hur det ska hantera de identifierade riskerna.

Bolaget ska dokumentera riskanalyserna och sina beslut om åtgärder.

Interna regler för informationssäkerhet

8 §Det ska framgå av ett clearingbolags interna regler för informationssäkerhet vilka krav som bolaget ställer på

  1. fysisk säkerhet,

  2. skydd av datakommunikation och drift av it-system,

  3. spårbarhet i it-system,

  4. styrning av åtkomst till information,

  5. säkerhet i it-system vid inköp, utveckling, underhåll och avveckling av sådana system,

  6. rapportering och hantering av incidenter relaterade till informationssäkerhet, och

  7. regelbunden kontroll av bolagets it-system mot den fastställda skyddsnivån för information enligt 6 §.

9 §Ett clearingbolag ska säkerställa att dess produktionsmiljö för it-system är separerad från test- och utvecklingsmiljöer.

10 §Ett clearingbolag ska fastställa hur det ska tilldela, ändra och ta bort åtkomstbehörigheter till it-system. Bolaget ska regelbundet, dock minst årligen, kontrollera att befintliga åtkomstbehörigheter är begränsade till behov utifrån tilldelade arbetsuppgifter.

It-verksamhet

Säkerhet

11 §Ett clearingbolag ska se till att dess it-system är tillräckligt säkra i förhållande till arten hos den information som bolaget hanterar i systemen.

Bolaget ska när det bedömer om it-systemen är tillräckligt säkra, utgå från den klassificering av information som ska göras enligt 6 §.

Mål och strategier

12 §Ett clearingbolag ska ha dokumenterade övergripande mål och strategier för sin it-verksamhet.

Den verkställande direktören ska besluta om bolagets övergripande mål och strategier enligt första stycket, och regelbundet utvärdera målen och strategierna och uppdatera dem om det behövs.

Ansvariga

13 §Ett clearingbolag ska säkerställa att det är tydligt vem som ansvarar för de olika delarna av bolagets it-verksamhet. Bolaget ska för varje it-system utse en person eller funktion som ansvarar för de krav som ställs på systemet.

Processer

14 §Ett clearingbolag ska ha ändamålsenliga processer för hur det hanterar sina it-system. Bolaget ska dokumentera processerna och beskriva de förhållanden som är av betydelse för att det ska kunna hantera it-systemen på ett kontrollerat sätt.

De processer som bolaget ska dokumentera ska omfatta

  1. inköp, utveckling, underhåll och avveckling av it-system,

  2. drift av it-systemen, inklusive säkerhetskopiering, samt återställning av system och data,

  3. incidenthantering,

  4. ändringshantering, och

  5. test.

Dokumentation av it-system

15 §Ett clearingbolag ska ha en dokumentation av varje enskilt it-system som är av betydelse för verksamheten.

Clearingbolaget ska även se till att dessa system framgår av en förteckning. Bolaget ska se över förteckningen regelbundet, minst årligen, och uppdatera den om det behövs.

5 kap. Beredskap

Hantering av avbrott och störningar

1 §Ett clearingbolag ska ha system, resurser, processer och interna regler som säkerställer att bolaget kan

  1. återuppta en sådan kritisk verksamhet som avses i 3 kap. 3 § första stycket lagen (2024:114) om clearing och avveckling av betalningar inom kort efter ett avbrott, och

  2. hantera händelser som utgör en betydande risk för avbrott i bolagets verksamhet.

Styrelsen eller den verkställande direktören ska besluta om de interna reglerna.

Beredskapsplaner, kontinuitetsplaner och återställningsplaner

2 §De interna reglerna enligt 1 § ska åtminstone omfatta planer som beskriver

  1. de åtgärder som clearingbolaget ska vidta för att hantera allvarliga och omfattande avbrott, störningar eller kriser (beredskapsplan),

  2. hur verksamheten ska upprätthållas i händelse av ett avbrott eller en större verksamhetsstörning (kontinuitetsplan), och

  3. enligt vilka prioriteringar och rutiner bolaget ska återgå till normal verksamhet efter ett avbrott eller en större verksamhetsstörning (återställningsplan).

Det ska framgå av planerna vilka roller och befattningar som ansvarar för att styra verksamheten och för att besluta om åtgärder vid ett avbrott eller en större verksamhetsstörning.

Av planerna ska det även framgå hur clearingbolaget ska prioritera, och besluta om, vilka åtgärder som bolaget ska vidta beroende på typen och omfattningen av ett avbrott eller en större verksamhetsstörning.

3 §Beredskapsplaner, kontinuitetsplaner och återställningsplaner ska vara enkla att tillämpa och vara lätta att tillgå även om det inträffar avbrott, störningar eller kriser.

Analys av verksamheten

4 §Ett clearingbolag ska regelbundet analysera konsekvenserna av sådana avbrott eller större störningar som kan inträffa i bolagets verksamhet samt i den verksamhet som bolaget har uppdragit åt någon annan att utföra.

5 §Konsekvensanalysen enligt 4 § ska omfatta alla affärsenheter och stödfunktioner och ta hänsyn till hur de är beroende av varandra. Ett clearingbolag ska använda analysen som underlag för att

  1. fastställa bolagets prioriteringar för att på ett ändamålsenligt sätt hantera ett avbrott eller en större verksamhetsstörning,

  2. fastställa bolagets prioriteringar och mål för att återuppta verksamheten efter ett avbrott eller en större verksamhetsstörning, och

  3. ta fram beredskapsplaner, kontinuitetsplaner och återställningsplaner.

Kritisk verksamhet

6 §Ett clearingbolag ska fastställa den längsta tillåtna tiden för avbrott i en kritisk verksamhet.

7 §Ett clearingbolag ska, om det inte är uppenbart obehövligt, ha minst ett alternativt driftställe som bolaget utan dröjsmål kan ta i bruk för att säkerställa att det kan upprätthålla driften av kritisk verksamhet eller återuppta den inom kort efter ett avbrott.

Ett alternativt driftställe ska vara geografiskt åtskilt från det ordinarie driftstället och inte vara beroende av samma fysiska infrastruktur som det ordinarie driftstället.

Kommunikation

8 §Ett clearingbolag ska ha rutiner för att hantera sin interna och externa kommunikation i samband med ett avbrott eller en större verksamhetsstörning. När bolaget planerar kommunikationen ska det ta hänsyn till om ett avbrott eller en störning kan påverka det finansiella systemet.

Utbildning

9 §Ett clearingbolag ska regelbundet utbilda och informera sin personal om hur den ska använda bolagets beredskapsplaner, kontinuitetsplaner och återställningsplaner.

Övning och testning av planer

10 §Ett clearingbolag ska testa sina beredskapsplaner, kontinuitetsplaner och återställningsplaner samt öva på att tillämpa dem.

Övningarna ska vara scenariobaserade. I testerna ska det ingå praktiska moment som, i förekommande fall, ska inbegripa hur clearingbolaget ska övergå från det ordinarie driftstället till ett alternativt driftställe. De genomförda övningarna och testerna ska utvärderas.

Övningar och tester ska genomföras

  1. regelbundet, minst årligen,

  2. i samband med omfattande ändringar av it-system som påverkar kritisk verksamhet, och

  3. om det behövs i andra fall än de som avses i 1 och 2.

11 §Ett clearingbolag ska fastställa vilka typer av övningar och tester enligt 10 § som bolaget ska genomföra och hur ofta de ska genomföras.

Styrelsen ska minst årligen få information om resultatet från övningarna och testerna.

Uppdatering av planer

12 §Ett clearingbolag ska regelbundet, minst årligen, utvärdera och, om det behövs, uppdatera sina beredskapsplaner, kontinuitetsplaner och återställningsplaner. Bolaget ska när det bedömer om en plan behöver uppdateras, beakta de utvärderingar som enligt 10 § andra stycket ska göras av övningar och tester.

Bolaget ska utse en person eller en funktion som ansvarar för att planerna uppdateras.

6 kap. Kapital

Krav på eget kapital

1 §Ett clearingbolag ska ha ett eget kapital som minst uppgår till ett belopp som beräknas som summan av

  1. ett riskbaserat kapitalkrav beräknat enligt 3 §, och

  2. ett kapitalkrav för att kunna fortsätta att bedriva kritisk verksamhet, beräknat enligt 4 §.

Beloppet ska fastställas av styrelsen. Beräkningen av beloppet ska dokumenteras.

2 §Styrelsen ska minst årligen, eller oftare om det behövs, fastställa clearingbolagets kapitalkrav enligt 1 §.

Styrelsen ska regelbundet övervaka storleken på bolagets egna kapital.

Beräkning av riskbaserat kapitalkrav

3 §Ett clearingbolag ska, när det beräknar sitt riskbaserade kapitalkrav, utgå från de risker som bolaget har identifierat enligt 3 kap. och som kan få en negativ påverkan på bolagets finansiella ställning. Bolaget ska beakta relevanta riskscenarier vid beräkningen.

Vid beräkningen får clearingbolaget beakta effekterna av de åtgärder som bolaget har vidtagit för att motverka riskerna.

Beräkning av kapitalkrav för kritisk verksamhet

4 §Ett clearingbolag ska beräkna ett kapitalkrav för att bolaget ska kunna fortsätta att bedriva kritisk verksamhet även om förluster uppstår. Kapitalkravet ska beräknas som ett belopp som motsvarar bolagets rörelsekostnader under de senaste sex månaderna.

Om ett clearingbolag inte har bedrivit någon clearingverksamhet under de senaste sex månaderna ska kapitalkravet beräknas som ett belopp som motsvarar de rörelsekostnader som bolaget kan förväntas ha under de kommande sex månaderna.

Rapportering

5 §Ett clearingbolag ska meddela Finansinspektionen om det egna kapitalet understiger det fastställda kapitalkravet.

7 kap. Uppdragsavtal

Allmänt om krav på verksamhet som omfattas av uppdragsavtal

1 §Ett clearingbolag ska ha system, resurser och interna regler som säkerställer att verksamhet som omfattas av sådana uppdragsavtal som avses i 3 kap. 6 § lagen (2024:114) om clearing och avveckling av betalningar bedrivs i enlighet med de regler som gäller för bolagets verksamhet.

Styrelsen eller den verkställande direktören ska besluta om de interna reglerna.

2 §Det ska framgå av de interna reglerna enligt 1 § hur clearingbolaget ska säkerställa att det uppfyller de krav som anges i 3–11 §§.

Åtgärder inför att ett uppdragsavtal ingås

3 §Ett clearingbolag ska genomföra en riskbedömning innan det uppdrar åt någon annan att utföra uppgifter som är av betydelse för clearingverksamheten. Bolaget ska identifiera, analysera och bedöma de risker som det innebär att uppdra åt någon annan att utföra uppgifterna.

Clearingbolaget ska särskilt beakta operativa risker som kan påverka dess driftssäkerhet, inbegripet risken för att uppgifterna inte utförs fullständigt eller utförs felaktigt.

4 §Ett clearingbolag som avser att uppdra åt någon annan att utföra uppgifter som är av betydelse för clearingverksamheten, ska säkerställa att det har personal med tillräcklig kompetens och erfarenhet för att kunna följa upp den verksamhet som omfattas av uppdragsavtal på det sätt som anges i 8 §.

5 §Ett clearingbolag som avser att ingå ett uppdragsavtal ska välja en uppdragstagare med omsorg genom att säkerställa att uppdragstagaren

  1. har den kunskap, kompetens och kapacitet som krävs för att utföra uppgifterna på ett tillfredsställande sätt samt har de tillstånd som krävs enligt lagar och andra författningar, och

  2. kan förväntas utföra uppdraget i enlighet med 7 § första stycket 2.

6 §Ett clearingbolag ska dokumentera

  1. de bedömningar som bolaget ska göra enligt 3 §,

  2. hur bolaget ska säkerställa att det uppfyller de krav på kompetens och erfarenhet som anges i 4 §, och

  3. hur bolaget har bedömt att uppdragstagaren uppfyller de krav som anges i 5 §.

Åtgärder i samband med att ett uppdragsavtal ingås

7 §Ett clearingbolag som ingår ett uppdragsavtal ska säkerställa att

  1. bolaget och dess revisorer

    1. ges tillgång till uppgifter om den del av uppdragstagarens verksamhet som omfattas av uppdragsavtalet, och

    2. har obegränsad rätt till revision av den verksamhet som omfattas av uppdragsavtalet och ges tillträde till uppdragstagarens lokaler och tillgång till dess it-system, och

  2. uppdragstagaren

    1. uppfyller de krav som följer av lagar och andra författningar som är tillämpliga på de uppgifter som uppdraget avser,

    2. löpande övervakar och kvalitetssäkrar hur de uppgifter som omfattas av uppdragsavtalet utförs och på ett ändamålsenligt sätt hanterar risker i den verksamhet som omfattas av uppdragsavtalet,

    3. informerar bolaget om alla händelser som kan innebära att den inte längre har förmåga att utföra de uppgifter som uppdraget avser på ett tillfredsställande sätt och i enlighet med lagar och andra författningar som gäller för bolagets verksamhet,

    4. följer bolagets interna regler i de delar som är relevanta för de uppgifter som uppdraget avser,

    5. skyddar all konfidentiell information som avser bolaget eller dess kunder,

    6. uppfyller de krav som anges i 5 kap. när det gäller de uppgifter som uppdraget avser,

    7. har en uppsägningstid som är tillräckligt lång för att bolaget ska kunna övergå till en alternativ lösning om uppdragstagaren säger upp avtalet,

    8. inte utan bolagets medgivande i sin tur får uppdra åt någon annan att utföra uppgifter som ingår i uppdraget, och

    9. ansvarar enligt uppdragsavtalet även om den i sin tur uppdrar åt någon annan att utföra uppgifter som ingår i uppdraget.

Uppdragsavtalet ska vara skriftligt.

Åtgärder under avtalstiden

8 §Ett clearingbolag ska löpande följa upp den verksamhet som omfattas av ett uppdragsavtal genom att

  1. övervaka och kontrollera att uppdragstagaren utför uppgifterna på ett tillfredsställande sätt och i enlighet med det som anges i 7 § första stycket 2,

  2. vidta ändamålsenliga åtgärder om uppdragstagaren inte utför uppgifterna på det sätt som anges i 1,

  3. hantera de risker som kan uppstå med anledning av att bolaget har uppdragit åt någon annan att utföra uppgifterna, och

  4. kontrollera att uppdragstagaren uppfyller de krav som framgår av 5 § 1.

9 §Ett clearingbolags funktion för internrevision ska löpande granska den verksamhet som omfattas av ett uppdragsavtal.

10 §Ett clearingbolag ska informera Finansinspektionen om väsentliga förändringar i den verksamhet som omfattas av ett uppdragsavtal.

Åtgärder för att kunna avsluta ett uppdrag

11 §Ett clearingbolag ska säkerställa att ett uppdrag att utföra uppgifter av betydelse för clearingverksamheten kan avslutas utan att det medför större störningar i den verksamheten och utan att det begränsar bolagets möjlighet att uppfylla de krav som gäller för clearingverksamheten.

Clearingbolaget ska ha ändamålsenliga planer för hur ett uppdrag ska kunna avslutas på det sätt som anges i första stycket. Det ska av planerna åtminstone framgå

  1. de alternativa sätt som uppgifterna kan utföras på och riskerna förenade med de alternativen, och

  2. en beskrivning av

    1. konsekvenserna av att uppdraget avslutas och att uppgifterna i stället ska utföras av clearingbolaget eller någon annan,

    2. de åtgärder som behöver vidtas med anledning av att uppdraget ska avslutas, och

    3. den tid och de resurser som bolaget bedömer kommer att krävas för de åtgärder som anges i b.

Clearingbolaget ska regelbundet utvärdera planerna och uppdatera dem om det behövs.

Ansökan om godkännande av uppdragsavtal

12 §En ansökan om godkännande enligt 3 kap. 6 § andra stycket lagen (2024:114) om clearing och avveckling av betalningar av ett uppdragsavtal som innebär en väsentlig förändring av förutsättningarna för clearingverksamheten ska innehålla

  1. en beskrivning av de uppgifter som uppdragstagaren ska utföra,

  2. en beskrivning av hur clearingbolaget säkerställer att bolaget uppfyller de krav som anges i detta kapitel,

  3. bedömningar enligt 3–5 §§, och

  4. en beskrivning av hur bolaget ska uppfylla kraven i 8 §.

Uppdragsavtalet ska ges in tillsammans med ansökan.

Ikraftträdande- och övergångsbestämmelser

2024:5

  1. Dessa föreskrifter träder i kraft den 1 juli 2024.

  2. Bestämmelserna i 7 kap. 1–11 §§ ska när det gäller uppdragsavtal som har ingåtts före ikraftträdandet tillämpas från och med den 1 juli 2025.