1 kap. Inledande bestämmelser
Tillämpningsområde
1 §Dessa föreskrifter innehåller bestämmelser om clearingbolag.
2 §Föreskrifterna gäller också för filialer till utländska clearingbolag.
Det som anges om styrelsen i dessa föreskrifter ska för filialer i stället avse den verkställande direktören. Det som anges om clearingbolag och aktiebolag ska då avse filialer till utländska clearingbolag.
Sådana bestämmelser som rör stiftelseurkund och bolagsordning i 2 kap. gäller dock inte för filialer till utländska clearingbolag.
3 §I föreskrifterna finns bestämmelser om följande:
tillstånd (2 kap.),
styrning och riskhantering (3 kap.),
informations-, it- och cybersäkerhet (4 kap.),
beredskap (5 kap.),
kapital (6 kap.), och
uppdragsavtal (7 kap.).
Proportionalitet
4 §Bestämmelserna i 3–5 och 7 kap. ska tillämpas proportionellt i förhållande till arten, omfattningen och komplexiteten av riskerna i varje clearingbolags verksamhet.
Definitioner
5 §Termer och uttryck som används i föreskrifterna har samma betydelse som i lagen (2024:114) om clearing och avveckling av betalningar.
Därutöver betyder
funktion: en enhet eller en avdelning som består av en eller flera personer med uppdrag att utföra en eller flera uppgifter inom verksamheten,
incident: en händelse som har eller riskerar att få negativ påverkan på bolagets verksamhet, tillgångar eller förtroende,
informationssäkerhet: skydd av konfidentialitet, riktighet och tillgänglighet hos information,
interna regler: policy- och styrdokument, riktlinjer, instruktioner eller andra skriftliga dokument genom vilka ett bolag styr sin verksamhet,
it-verksamhet: ett bolags organisation, processer och personal för att hantera it-system,
konfidentialitet: förhållandet att information inte görs tillgänglig eller avslöjas för obehöriga,
kontrollfunktion: en funktion för riskkontroll, regelefterlevnad eller internrevision,
process: en kedja av sammanhängande aktiviteter som utifrån en viss resursinsats producerar ett resultat,
riktighet: egenskap hos information som innebär att informationen inte förändras obehörigen, av misstag eller på grund av funktionsstörning,
spårbarhet: en möjlighet att entydigt kunna härleda utförda aktiviteter och vilken person eller systemfunktion som har utfört dessa, och
tillgänglighet: en möjlighet att kunna använda information i förväntad utsträckning och inom önskad tid.
2 kap. Tillstånd
Ansökan om tillstånd för clearingverksamhet
1 §En ansökan om tillstånd att bedriva clearingverksamhet ska vara utformad på det sätt och ha det innehåll som framgår av 2–6 §§.
Beskrivning av verksamheten
2 §Den beskrivning av den planerade verksamheten som enligt 2 kap. 9 § lagen (2024:114) om clearing och avveckling av betalningar ska finnas i en ansökan om tillstånd att bedriva clearingverksamhet, ska omfatta
en förteckning över de personer som ska ingå i aktiebolagets styrelse eller vara verkställande direktör, eller vara ersättare för någon av dem,
en schematisk översikt av hur verksamheten ska organiseras som innefattar en redogörelse för
de olika funktionerna,
vem som är ansvarig för respektive funktion,
hur många personer som ska vara verksamma inom dessa funktioner, samt
de åtgärder och uppgifter som utförs inom respektive funktion,
en redogörelse för hur de kontrollfunktioner som anges i 3 a kap. 1 § ska vara utformade och hur deras arbete ska bedrivas,
flödesscheman över de väsentliga processer som finns för clearingverksamheten,
en beskrivning av de väsentliga risker som verksamheten är förknippad med, samt hur dessa ska hanteras genom kontroller och andra åtgärder,
en uppgift om huruvida aktiebolaget avser att uppdra åt någon annan att utföra uppgifter som är av betydelse för clearingverksamheten och i så fall en beskrivning av
arten och omfattningen av uppdraget, och
hur aktiebolaget avser att fullgöra sina skyldigheter enligt 7 kap.,
en redogörelse för aktiebolagets hantering av informationssäkerhet och it-verksamhet som innefattar
hur den ska vara organiserad, styras och följas upp, och
de väsentliga it-systemens funktioner och användningsområden,
en beskrivning av
en uppgift om huruvida aktiebolaget avser att bedriva sidoverksamhet och i så fall en beskrivning av den verksamheten,
en redogörelse för hur aktiebolaget avser att finansiera verksamheten,
en prognos för de tre närmast kommande verksamhetsåren som omfattar
balans- och resultaträkningar, och
en beräkning av hur stort det egna kapitalet minst ska vara enligt 6 kap. 1 §, och
de antaganden som prognosen enligt 11 bygger på samt vilken påverkan ändrade antaganden, inbegripet ändrade betalningsvolymer, får på angivna prognoser och på beräkningarna av det egna kapitalet.
FFFS (2026:22)
Övriga uppgifter och handlingar som ska lämnas in
3 §Ett aktiebolag ska tillsammans med ansökan lämna skriftliga uppgifter om
bolagets innehav av aktier eller andelar i andra företag, och
huruvida bolaget är part i en pågående domstolsprocess eller ett skiljeförfarande och, om så är fallet, närmare uppgifter om detta.
4 §Ett aktiebolag ska tillsammans med ansökan också lämna skriftliga uppgifter om de personer som avses i 2 § 1. Uppgifterna ska lämnas enligt bilaga 2 till Finansinspektionens föreskrifter (FFFS 2023:12) om ägar-, ägarlednings- och ledningsprövning i vissa finansiella företag.
Det följer av 5 § Finansinspektionens föreskrifter om ägar-, ägarlednings- och ledningsprövning i vissa finansiella företag att uppgifter även ska lämnas om fysiska och juridiska personer med ett kvalificerat innehav i aktiebolaget och ledningspersoner för en sådan juridisk person.
5 §Ett aktiebolag ska tillsammans med ansökan ge in följande handlingar:
En stiftelseurkund för bolaget, om det inte är registrerat i aktiebolagsregistret.
Bolagets bolagsordning.
Ett underlag som visar att bolaget kommer att ha det egna kapital som krävs enligt 6 kap. 1 §.
Utkast till de interna regler som ska finnas för verksamheten enligt dessa föreskrifter.
Om aktiebolaget har ingått ett uppdragsavtal som gäller uppgifter som är av betydelse för clearingverksamheten, ska bolaget ge in avtalet tillsammans med ansökan.
6 §Ett aktiebolag som bedriver verksamhet sedan tidigare ska, utöver de handlingar som anges i 4 §, tillsammans med ansökan ge in kopior av fastställda årsredovisningar för de tre senaste räkenskapsåren.
En filial till ett utländskt clearingbolag som inte är skyldig att upprätta en årsredovisning, ska i stället ge in kopior av årsbokslut som avser de tre senaste räkenskapsåren.
7 §En ansökan ska undertecknas av alla stiftare eller styrelseledamöter och innehålla en försäkran att de inte är i konkurs eller har näringsförbud och att de inte heller har förvaltare enligt 11 kap. 7 § föräldrabalken.
Ansökan om godkännande av ändring av bolagsordningen
8 §Ett clearingbolag som ansöker om godkännande av en ändring av bolagsordningen enligt 2 kap. 5 § andra stycket lagen (2024:114) om clearing och avveckling av betalningar ska tillsammans med ansökan ge in
en kopia av bolagsstämmans protokoll med ändringsbeslutet, och
den ändrade bolagsordning som bolagsstämman har beslutat om.
Ansökan ska undertecknas av behörig företrädare för clearingbolaget.
3 kap. Styrning och riskhantering
Bestämmelser i andra föreskrifter
1 §Ett clearingbolag ska tillämpa följande bestämmelser i Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:4) om hantering av operativa risker:
5 kap. 1, 6 och 7 §§ om hantering av operativa risker i verksamheten.
Det som anges om företag i bestämmelserna enligt första stycket ska då avse clearingbolag. När det gäller filialer ska det som anges om styrelsen i stället avse den verkställande direktören.
FFFS (2026:22)
Allmänna organisatoriska krav
2 §Ett clearingbolag ska se till att
ha en ändamålsenlig och överblickbar organisationsstruktur med en tydlig fördelning av funktioner och ansvarsområden som dels säkerställer att clearingbolaget styrs effektivt och sunt, dels gör det möjligt för Finansinspektionen att utöva en effektiv tillsyn,
ha aktuella och dokumenterade beslutsrutiner som tydligt anger rapporteringsvägar,
varje relevant befattnings ansvar och arbetsuppgifter är dokumenterade i en befattningsbeskrivning,
all personal är informerad om vilka rutiner som de ska följa för att kunna fullgöra sina skyldigheter,
ha aktuella och ändamålsenliga interna kontrollmekanismer som innefattar kontrollfunktioner, it-system och processer, för att säkerställa att beslut och rutiner följs på alla nivåer inom bolaget,
ha personal med den kompetens och kunskap som krävs för att de ska kunna fullgöra sina arbetsuppgifter,
ha en aktuell och ändamålsenlig intern och extern rapportering och spridning av information i bolaget,
om en person arbetar inom flera funktioner, detta inte hindrar honom eller henne från att fullgöra sina uppgifter på ett korrekt sätt.
För en grupp eller en enhet med anställda som utför identiska arbetsuppgifter kan en befattningsbeskrivning enligt första stycket 3 omfatta hela den aktuella gruppen eller enheten.
FFFS (2026:22)
3 §Ett clearingbolag ska ha en dokumenterad riskaptit som omfattar bolagets alla slag av risker.
Styrelsen ska besluta om bolagets riskaptit och regelbundet utvärdera riskaptiten och uppdatera den om det behövs.
FFFS (2026:22)
4 §Ett clearingbolag ska ha en dokumenterad riskstrategi.
Styrelsen ska besluta om bolagets riskstrategi och regelbundet utvärdera riskstrategin och uppdatera den om det behövs.
FFFS (2026:22)
5 §Ett clearingbolag ska ha interna regler för styrning och kontroll av sin organisation och verksamhet.
Styrelsen ska besluta om de interna reglerna.
FFFS (2026:22)
6 §Ett clearingbolag ska ha it-system och rapporteringsrutiner som säkerställer att information om dess verksamhet och riskexponering är aktuell och relevant samt att den externa rapporteringen är tillförlitlig, aktuell, fullständig och att den rapporteras i tid.
FFFS (2026:22)
7 §Ett clearingbolag ska säkerställa att det har rutiner för åtskillnad av arbetsuppgifter och förebyggande av intressekonflikter. Bolaget ska även se till att ingen person ensam handlägger en transaktion genom hela behandlingskedjan.
Bolaget behöver inte uppfylla det som anges i första stycket andra meningen om transaktionen är obetydlig.
FFFS (2026:22)
8 §Ett clearingbolag ska övervaka och regelbundet utvärdera de system, interna kontrollmekanismer och rutiner som anges i 2–7 §§, för att säkerställa att de är effektiva och ändamålsenliga. Bolaget ska dessutom vidta lämpliga åtgärder för att korrigera eventuella brister.
FFFS (2026:22)
Styrning
9 §Ett clearingbolag ska driva sin verksamhet på ett etiskt ansvarsfullt och professionellt sätt.
Bolaget ska också upprätthålla sunda yrkesmässiga värderingar, attityder och beteenden som har avgörande betydelse för hur bolaget hanterar sina risker (riskkultur).
FFFS (2026:22)
10 §Styrelsen ska minst årligen utvärdera och, om det behövs, uppdatera de interna regler som den har beslutat om. Den verkställande direktören ska regelbundet, minst årligen, utvärdera de interna regler som den har beslutat om och om det behövs uppdatera dem.
Styrelsen ska regelbundet se över och bedöma effektiviteten i clearingbolagets organisationsstruktur, rutiner, metoder och andra åtgärder som bolaget har fattat beslut om för att följa lagar och andra författningar som reglerar bolagets tillståndspliktiga verksamhet. Styrelsen ska även vidta lämpliga åtgärder för att, i förekommande fall, korrigera brister i dessa åtgärder.
FFFS (2026:22)
11 §När styrelsen fastställer clearingbolagets strategier ska den ta hänsyn till bolagets långsiktiga finansiella intressen, de risker bolaget exponeras för och kan förväntas komma att exponeras för, samt det kapital som krävs för att täcka bolagets risker.
FFFS (2026:22)
12 §Styrelsens ledamöter ska ha god kännedom om och förståelse för clearingbolagets organisationsstruktur och processer för att kunna säkerställa att dessa är förenliga med bolagets beslutade strategier. Ledamöterna ska vara väl insatta i och ha god kännedom om bolagets verksamhet samt arten och omfattningen av dess risker.
FFFS (2026:22)
13 §Styrelsen eller den verkställande direktören ska regelbundet utvärdera om clearingbolaget kontrollerar och hanterar sina risker på ett effektivt och ändamålsenligt sätt.
FFFS (2026:22)
Riskhantering
14 §Ett clearingbolag ska ha ett ramverk för riskhantering som innehåller de strategier, processer, rutiner, interna regler, kontroller och rapporteringsrutiner som behövs för att säkerställa att bolaget löpande kan identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som det är eller kan förväntas komma att bli exponerat för.
FFFS (2026:22)
15 §Ett clearingbolag ska ha interna regler för sin riskhantering som anger
vilka typer av risker som bolaget i huvudsak är exponerat för,
bolagets metoder och processer för att identifiera, mäta, övervaka, hantera och internt rapportera risker,
hur bolaget ska utveckla och tillämpa kontroller för att motverka de risker som bolaget är exponerat för,
hur kontrollerna enligt 3 ska testas och utvärderas, och
bolagets rutiner för att fastställa och övervaka den nivå och den inriktning på bolagets risker som kan accepteras för att uppnå bolagets strategiska mål (riskaptiten).
FFFS (2026:22)
16 §Ett clearingbolag ska ha metoder för att identifiera och mäta sina risker.
FFFS (2026:22)
17 §Ett clearingbolag ska identifiera risker i sina produkter, tjänster, funktioner, processer och it-system.
FFFS (2026:22)
18 §Ett clearingbolag ska regelbundet mäta riskerna enligt 17 §, genom att bedöma sannolikheten för att de inträffar och vilka konsekvenserna blir av detta. Bolaget ska även fastställa vilka åtgärder det ska vidta för att hantera riskerna.
FFFS (2026:22)
19 §Ett clearingbolag ska testa och utvärdera de kontroller som bolaget har för att säkerställa att det löpande kan ha kontroll över de väsentliga risker som bolaget är exponerat för.
FFFS (2026:22)
20 §Ett clearingbolag ska fastställa och dokumentera indikatorer med gränsvärden för sina relevanta risker som visar när dessa risker har ökat.
Clearingbolaget ska regelbundet se över och, om det behövs, uppdatera indikatorerna och gränsvärdena.
FFFS (2026:22)
21 §Ett clearingbolag ska dokumentera sina processer enligt 5 kap. 1 § Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:4) om hantering av operativa risker, och utse en ansvarig person eller funktion för varje sådan process.
Dokumentationen av en process enligt första stycket ska innehålla uppgifter om åtminstone
processens huvudsakliga aktiviteter och deras samband (flödesschema),
vilka it-system som stödjer processen,
när en kontroll görs och ett beslut fattas i processen,
processens resultat, till exempel en tjänst, produkt eller liknande, och
vilken information som används i aktiviteterna enligt 1.
Clearingbolaget ska ange i interna regler hur bolaget ska dokumentera processerna enligt första stycket och hur det ska hantera operativa risker i processerna.
FFFS (2026:22)
22 §Ett clearingbolag ska ha en rutin för att regelbundet rapportera de risker som finns eller kan förväntas uppstå i verksamheten till styrelsen och riskutskottet, om ett sådant har inrättats, den verkställande direktören, och övriga funktioner som behöver ha informationen, så att de får tillförlitliga, aktuella och fullständiga rapporter i rätt tid.
Styrelsen och riskutskottet, om ett sådant har inrättats, ska fastställa arten, mängden, formatet och frekvensen på riskinformationen som de ska få ta emot.
FFFS (2026:22)
23 §Ett clearingbolag ska ha en gemensam och sund syn på risktagande som baseras på en förståelse för samtliga risker som bolaget kan exponeras för, samt hur dessa tas om hand i bolaget. En sådan riskkultur ska ta hänsyn till bolagets beslutade riskaptit. Bolaget ska löpande informera och utbilda berörd personal så att den har relevant kunskap om bolagets ramverk för riskhantering.
FFFS (2026:22)
Intressekonflikter
24 §Ett clearingbolag ska identifiera och hantera de intressekonflikter som finns eller kan förväntas komma att uppstå i verksamheten.
FFFS (2026:22)
25 §Ett clearingbolag ska ha interna regler som anger hur bolaget hanterar intressekonflikter enligt 24 §.
Styrelsen ska besluta om de interna reglerna.
FFFS (2026:22)
26 §Ett clearingbolag ska i de interna reglerna för intressekonflikter enligt 25 §
identifiera vilka omständigheter som utgör eller kan förväntas komma att ge upphov till en intressekonflikt som medför en väsentlig risk för att en eller flera kunders intressen påverkas negativt med hänsyn till bolagets produkter och tjänster, och
ange vilka rutiner som ska tillämpas och vilka åtgärder som ska vidtas för att hantera sådana konflikter.
FFFS (2026:22)
Process för godkännande
27 §Ett clearingbolag ska när det inför nya, eller väsentligt förändrade, produkter, tjänster, marknader, processer, it-system och vid större förändringar i bolagets verksamhet och organisation, hantera de risker som kan uppstå i samband med detta på ett effektivt och ändamålsenligt sätt.
FFFS (2026:22)
28 §Ett clearingbolag ska ha en process för att godkänna nya eller väsentligt förändrade produkter, tjänster, marknader, processer, it-system samt vid större förändringar i bolagets verksamhet och organisation.
FFFS (2026:22)
29 §Ett clearingbolag ska i sina interna regler beskriva processen för godkännande enligt 28 §. De interna reglerna ska även ange
vad bolaget avser med nya eller väsentligt förändrade befintliga produkter, tjänster, marknader, processer, it-system och större förändringar i bolagets verksamhet och organisation, samt
vilka funktioner och enheter som ska delta i processen.
FFFS (2026:22)
30 §Ett clearingbolag ska se till att följande moment finns med i processen för godkännande enligt 28 §
kontroll av att gällande regler följs,
analys av om bolagets risknivåer kan öka eller om nya risker kan uppstå och om detta kan påverka bolagets kapitalbehov,
kontroll av att det finns tillräckligt med personal och tillgång till kompetens, interna regler, verktyg och processer i affärsenheter samt stöd- och kontrollfunktioner för att kunna förstå och övervaka riskerna, samt
dokumentation av beslut om godkännande där de överväganden framgår som legat till grund för beslutet.
FFFS (2026:22)
31 §Om det inte anges i de interna reglerna enligt 29 § 1 att clearingbolaget ska tillämpa processen enligt 28 §, ska funktionen för riskkontroll avgöra huruvida bolaget ska tillämpa den processen eller inte.
FFFS (2026:22)
32 §När ett clearingbolag beslutar om en ny produkt, tjänst, marknad, process eller it-system, ska det fastställa vilken person eller funktion som ska ansvara för att hantera risker som är förenade med dessa.
FFFS (2026:22)
Hantering av incidenter
33 §Ett clearingbolag ska ha interna regler för att hantera, dokumentera, analysera och internt rapportera de incidenter som uppstår i verksamheten. Bolaget ska rapportera allvarliga incidenter till styrelsen och den verkställande direktören.
FFFS (2026:22)
34 §Ett clearingbolag ska efter att en allvarlig incident har inträffat, identifiera och analysera orsakerna till incidenten.
Bolaget ska, utifrån den analys som har gjorts enligt första stycket, bedöma om det finns ett behov av att förbättra it-system, processer, kontroller och beredskap samt vidta nödvändiga åtgärder.
FFFS (2026:22)
Driftssäkerhet
35 §Ett clearingbolag ska fastställa mål för driftssäkerhet och ha ändamålsenliga interna regler för att nå dessa mål. Målen ska innefatta kvalitativa och kvantitativa mått.
Bolaget ska övervaka och regelbundet utvärdera om det uppfyller sina fastställda mål för driftssäkerhet.
FFFS (2026:22)
36 §Ett clearingbolag ska säkerställa att det har tillräcklig kapacitet för att kunna nå sina fastställda mål för driftssäkerhet även vid ökade betalningsvolymer och i stressade situationer.
Bolaget ska regelbundet övervaka och testa kapaciteten och prestandan i de it-system som det använder i clearingverksamheten.
Bolaget ska om det behövs ta fram dels prognoser över efterfrågan på bolagets tjänster och produkter, dels lämpliga planer för att anpassa sig till förändringar i betalningsvolymen eller i fråga om tekniska krav.
FFFS (2026:22)
3 a kap. Kontrollfunktioner
Generella krav på kontrollfunktionerna
1 §Ett clearingbolag ska ha en funktion för riskkontroll, en funktion för regelefterlevnad och en funktion för internrevision. Kontrollfunktionerna ska vara organisatoriskt skilda från varandra. I små clearingbolag med mindre komplex verksamhet kan funktionen för riskkontroll och funktionen för regelefterlevnad vara kombinerad.
FFFS (2026:22)
2 §Varje kontrollfunktions arbete ska regleras av interna regler. De interna reglerna ska ange varje kontrollfunktions ansvar, uppgifter och rutiner för rapportering.
Styrelsen ska besluta om de interna reglerna.
FFFS (2026:22)
3 §En kontrollfunktion enligt 1 § ska ha de resurser som krävs samt tillgång till den information som behövs för att kunna fullgöra sina uppgifter. En sådan funktion ska ha personal med den kunskap som krävs samt de befogenheter som behövs för att den ska kunna fullgöra sina uppgifter.
FFFS (2026:22)
4 §Ett clearingbolag ska se till att personalen i en kontrollfunktion enligt 1 § löpande utbildas för att hålla kunskapen aktuell.
FFFS (2026:22)
5 §En kontrollfunktion enligt 1 § ska ha ändamålsenliga it-system och stöd till sitt förfogande.
FFFS (2026:22)
Oberoende
6 §En kontrollfunktion enligt 1 § ska vara oberoende. För att en kontrollfunktion ska anses oberoende ska
personalen i kontrollfunktionen inte utföra några uppgifter som ingår i verksamheten som de ska övervaka och kontrollera,
den organisatoriskt vara skild från de funktioner och områden som den ska övervaka och kontrollera,
den ansvarige för kontrollfunktionen regelbundet rapportera direkt till styrelsen och närvara vid styrelsens sammanträden då respektive funktions ansvarsområde eller rapporter behandlas, och
metoden för att fastställa ersättning till personalen i kontrollfunktionen inte vara utformad så att den äventyrar eller kan förväntas komma att äventyra personalens objektivitet.
FFFS (2026:22)
Rapportering
7 §En kontrollfunktion enligt 1 § ska regelbundet, minst årligen, rapportera om väsentliga brister och risker till styrelsen, riskutskottet, om ett sådant har inrättats, och den verkställande direktören. Rapporterna ska följa upp tidigare rapporterade brister och risker och redogöra för varje ny identifierad väsentlig brist och risk. En konsekvensanalys och en rekommendation till åtgärder ska även ingå i rapporten. Styrelsen, riskutskottet och den verkställande direktören ska så snart som möjligt vidta lämpliga åtgärder med anledning av kontrollfunktionens rapport.
FFFS (2026:22)
8 §Ett clearingbolag ska ha rutiner för att regelbundet följa upp vilka åtgärder som det vidtar med anledning av en kontrollfunktions rapport.
FFFS (2026:22)
3 b kap. Funktion för riskkontroll
1 §Clearingbolagets funktion för riskkontroll enligt 3 a kap. 1 § ska vara direkt underställd den verkställande direktören eller i förekommande fall clearingbolagets riskchef. Ett bolag som har flera funktioner för riskkontroll ska ha en central funktion för riskkontroll som ansvarar för att sammanställa, analysera och rapportera bolagets samtliga risker.
FFFS (2026:22)
2 §Funktionen för riskkontroll ska bestå av personer med tillräcklig kunskap om dels metoder och rutiner för att hantera risker, dels marknader och produkter för att kunna lämna relevant och oberoende information, analyser och expertutlåtanden om clearingbolagets risker.
FFFS (2026:22)
3 §Funktionen för riskkontroll ska
dels kontrollera att alla väsentliga risker som clearingbolaget exponeras för eller kan förväntas komma att exponeras för identifieras och hanteras av berörda funktioner, dels identifiera risker som uppstår på grund av brister i bolagets riskhantering, dels kontrollera att varje affärsenhet övervakar samtliga för affärsenheten väsentliga risker på ett effektivt sätt,
övervaka och kontrollera bolagets riskhantering,
kontrollera och analysera bolagets väsentliga risker och utvecklingen av dessa samt identifiera dels nya risker som kan uppstå till följd av förändrade förutsättningar, dels risker som härrör från graden av komplexitet i bolagets legala struktur,
se till att information om bolagets risker regelbundet lämnas till styrelsen samt regelbundet, dock minst kvartalsvis, rapportera sin bedömning såväl skriftligt som muntligt till styrelsen,
när bolaget lägger fram förslag eller fattar beslut som medför att bolagets risker kan öka väsentligt, bedöma om dessa är förenliga med bolagets beslutade riskaptit,
när bolaget tar fram eller ändrar sin riskstrategi och riskaptit, lämna all relevant information som kan utgöra underlag för beslut i dessa frågor samt bedöma föreslagen riskstrategi och lämna en rekommendation innan beslut fattas,
kontrollera att relevanta interna regler, processer och rutiner enligt 3 kap. 14 § följs, att de är ändamålsenliga och effektiva samt föreslå ändringar i dessa om det behövs,
innan bolaget beslutar om nya, eller väsentligt förändrade, produkter, tjänster, marknader, processer och it-system samt vid större förändringar i bolagets verksamhet och organisation utvärdera risker med dessa samt utvärdera hur dessa kan förväntas komma att påverka bolagets sammanvägda risk.
FFFS (2026:22)
Riskchef
4 §Ett clearingbolag ska om det är lämpligt och rimligt med hänsyn till verksamhetens art, omfattning och komplexitet utse en riskchef, som ska ansvara för funktionen för riskkontroll och bedöma om bolagets ramverk för riskhantering är effektivt och ändamålsenligt. Riskchefen ska vara direkt underställd den verkställande direktören och ska rapportera direkt till denne och till styrelsen eller i förekommande fall till styrelsens riskutskott.
FFFS (2026:22)
5 §I riskchefens arbete ska det ingå att kritiskt granska och ifrågasätta beslut som påverkar clearingbolagets riskexponering. Riskchefen ska ha en löpande dialog med styrelsen och verkställande direktören om riskrelaterade frågor.
FFFS (2026:22)
6 §Ett clearingbolag ska ha interna regler för att utse och ersätta en riskchef enligt 4 §. Styrelsen ska godkänna och besluta om tillsättning av och byte av riskchefen. Bolaget ska när det tillsätter eller byter riskchef informera Finansinspektionen om detta.
FFFS (2026:22)
3 c kap. Regelefterlevnad
1 §Ett clearingbolag ska ha aktuella och lämpliga interna regler och rutiner för att kunna identifiera vilka risker som finns för att bolaget inte fullgör sina förpliktelser enligt dels lagar, förordningar och andra regler som gäller för den tillståndspliktiga verksamheten, dels interna regler.
Styrelsen ska besluta om de interna reglerna för regelefterlevnad.
Bolaget ska ha lämpliga rutiner och vidta lämpliga åtgärder för att minimera risken för att lagar, förordningar och andra regler som gäller för den tillståndspliktiga verksamheten inte följs.
FFFS (2026:22)
Funktion för regelefterlevnad
2 §Clearingbolagets funktion för regelefterlevnad enligt 3 a kap. 1 § ska vara direkt underställd den verkställande direktören. Bolaget ska utse en person som ansvarar för funktionen och för all rapportering om regelefterlevnad.
FFFS (2026:22)
3 §Funktionen för regelefterlevnad ska
dels identifiera vilka risker som finns för att clearingbolaget inte fullgör sina förpliktelser enligt lagar, förordningar och andra regler som gäller för den tillståndspliktiga verksamheten, dels övervaka och kontrollera att riskerna hanteras av berörda funktioner,
övervaka och kontrollera efterlevnaden av dels lagar, förordningar och andra regler, dels relevanta interna regler,
ge råd och stöd till bolagets personal, verkställande direktör och styrelse om dels de lagar, förordningar och andra regler som gäller för den tillståndspliktiga verksamheten, dels interna regler,
informera och utbilda berörda personer om nya eller ändrade regler,
kontrollera att nya, eller väsentligt förändrade, produkter, tjänster, marknader, processer, it-system samt större förändringar i bolagets verksamhet och organisation följer de lagar, förordningar och andra regler som gäller för bolagets tillståndspliktiga verksamhet,
övervaka och kontrollera att de interna reglerna och rutinerna enligt 1 § följs,
kontrollera och regelbundet bedöma om bolagets rutiner och åtgärder enligt 1 § tredje stycket är ändamålsenliga och effektiva, och
lämna rekommendationer till berörda personer baserade på de iakttagelser som funktionen gjort.
FFFS (2026:22)
3 d kap. Funktion för internrevision
1 §Clearingbolagets funktion för internrevision enligt 3 a kap. 1 § ska vara direkt underställd bolagets styrelse.
FFFS (2026:22)
2 §Personalen i funktionen för internrevision får inte delta i andra funktioners arbete, i den operativa verksamheten eller i arbetet med att utforma och välja riskmodeller eller andra verktyg för att hantera risk.
FFFS (2026:22)
3 §Funktionen för internrevision ska bestå av personer med kunskap bland annat om
clearingbolagets verksamhet, rutiner, it-system, redovisning och värdering av tillgångar samt de risker bolaget är exponerat för,
de lagar, förordningar och andra regler som gäller för verksamheten och
standarder för internrevision.
FFFS (2026:22)
4 §Ett clearingbolag ska löpande informera och utbilda personalen i funktionen för internrevision om nya produkter och tjänster på de finansiella marknaderna.
FFFS (2026:22)
5 §Funktionen för internrevision ska
arbeta efter en aktuell och riskbaserad revisionsplan som styrelsen fastställt,
granska och regelbundet utvärdera om clearingbolagets organisation, styrningsprocesser, it-system, modeller och rutiner är ändamålsenliga och effektiva,
granska och regelbundet utvärdera om bolagets interna kontroll är ändamålsenlig och effektiv,
granska och regelbundet utvärdera om verksamheten drivs i enlighet med bolagets interna regler,
granska och regelbundet utvärdera bolagets riskhantering utifrån den beslutade riskstrategin och riskaptiten,
granska och utvärdera om bolagets interna regler är lämpliga och förenliga med lagar, förordningar och andra regler,
granska och utvärdera tillförlitligheten i bolagets finansiella rapportering, inklusive åtaganden utanför balansräkningen,
granska och regelbundet utvärdera tillförlitligheten och kvaliteten på det arbete som utförs inom bolagets övriga kontrollfunktioner,
lämna rekommendationer till berörda personer, baserade på de iakttagelser som funktionen gjort, och
följa upp om åtgärderna enligt 9 genomförs.
FFFS (2026:22)
4 kap. Informations-, it- och cybersäkerhet
Interna regler
1 §Ett clearingbolag ska ha interna regler för sitt arbete med informations-, it- och cybersäkerhet.
2 §De planer för informations-, it- och cybersäkerhet som ett clearingbolag ska ha enligt 3 kap. 4 § lagen (2024:114) om clearing och avveckling av betalningar, ska framgå av bolagets interna regler.
Informationssäkerhet
Mål och inriktning
3 §Ett clearingbolag ska dokumentera mål och inriktning för sin informationssäkerhet. Styrelsen eller den verkställande direktören ska besluta om målen och inriktningen.
Ansvar för informationssäkerhet och samordning
4 §Ett clearingbolag ska säkerställa att det är tydligt hur ansvaret för informationssäkerheten är fördelat inom verksamheten.
5 §Ett clearingbolag ska utse en person som ansvarar för att leda och samordna arbetet med informationssäkerhet.
Klassificering av information
6 §Ett clearingbolag ska klassificera sin information för att den ska få rätt skyddsnivå. Klassificeringen ska utgå från de krav som ställs på informationens konfidentialitet, riktighet och tillgänglighet i verksamheten.
Bolaget ska dokumentera klassificeringen enligt första stycket och utse personer eller funktioner som ansvarar för den information som hanteras inom verksamheten.
Riskanalys
7 §Ett clearingbolag ska årligen och vid förändringar som har betydelse för informationssäkerheten, analysera de risker som är hänförliga till bolagets informationssäkerhet. Bolaget ska utifrån dessa analyser och inträffade incidenter besluta om hur det ska hantera de identifierade riskerna.
Bolaget ska dokumentera riskanalyserna och sina beslut om åtgärder.
Interna regler för informationssäkerhet
8 §Det ska framgå av ett clearingbolags interna regler för informationssäkerhet vilka krav som bolaget ställer på
fysisk säkerhet,
skydd av datakommunikation och drift av it-system,
spårbarhet i it-system,
styrning av åtkomst till information,
säkerhet i it-system vid inköp, utveckling, underhåll och avveckling av sådana system,
rapportering och hantering av incidenter relaterade till informationssäkerhet, och
regelbunden kontroll av bolagets it-system mot den fastställda skyddsnivån för information enligt 6 §.
9 §Ett clearingbolag ska säkerställa att dess produktionsmiljö för it-system är separerad från test- och utvecklingsmiljöer.
10 §Ett clearingbolag ska fastställa hur det ska tilldela, ändra och ta bort åtkomstbehörigheter till it-system. Bolaget ska regelbundet, dock minst årligen, kontrollera att befintliga åtkomstbehörigheter är begränsade till behov utifrån tilldelade arbetsuppgifter.
It-verksamhet
Säkerhet
11 §Ett clearingbolag ska se till att dess it-system är tillräckligt säkra i förhållande till arten hos den information som bolaget hanterar i systemen.
Bolaget ska när det bedömer om it-systemen är tillräckligt säkra, utgå från den klassificering av information som ska göras enligt 6 §.
Mål och strategier
12 §Ett clearingbolag ska ha dokumenterade övergripande mål och strategier för sin it-verksamhet.
Den verkställande direktören ska besluta om bolagets övergripande mål och strategier enligt första stycket, och regelbundet utvärdera målen och strategierna och uppdatera dem om det behövs.
Ansvariga
13 §Ett clearingbolag ska säkerställa att det är tydligt vem som ansvarar för de olika delarna av bolagets it-verksamhet. Bolaget ska för varje it-system utse en person eller funktion som ansvarar för de krav som ställs på systemet.
Processer
14 §Ett clearingbolag ska ha ändamålsenliga processer för hur det hanterar sina it-system. Bolaget ska dokumentera processerna och beskriva de förhållanden som är av betydelse för att det ska kunna hantera it-systemen på ett kontrollerat sätt.
De processer som bolaget ska dokumentera ska omfatta
inköp, utveckling, underhåll och avveckling av it-system,
drift av it-systemen, inklusive säkerhetskopiering, samt återställning av system och data,
incidenthantering,
ändringshantering, och
test.
Dokumentation av it-system
15 §Ett clearingbolag ska ha en dokumentation av varje enskilt it-system som är av betydelse för verksamheten.
Clearingbolaget ska även se till att dessa system framgår av en förteckning. Bolaget ska se över förteckningen regelbundet, minst årligen, och uppdatera den om det behövs.
5 kap. Beredskap
Hantering av avbrott och störningar
1 §Ett clearingbolag ska ha system, resurser, processer och interna regler som säkerställer att bolaget kan
återuppta en sådan kritisk verksamhet som avses i 3 kap. 3 § första stycket lagen (2024:114) om clearing och avveckling av betalningar inom kort efter ett avbrott, och
hantera händelser som utgör en betydande risk för avbrott i bolagets verksamhet.
Styrelsen eller den verkställande direktören ska besluta om de interna reglerna.
Beredskapsplaner, kontinuitetsplaner och återställningsplaner
2 §De interna reglerna enligt 1 § ska åtminstone omfatta planer som beskriver
de åtgärder som clearingbolaget ska vidta för att hantera allvarliga och omfattande avbrott, störningar eller kriser (beredskapsplan),
hur verksamheten ska upprätthållas i händelse av ett avbrott eller en större verksamhetsstörning (kontinuitetsplan), och
enligt vilka prioriteringar och rutiner bolaget ska återgå till normal verksamhet efter ett avbrott eller en större verksamhetsstörning (återställningsplan).
Det ska framgå av planerna vilka roller och befattningar som ansvarar för att styra verksamheten och för att besluta om åtgärder vid ett avbrott eller en större verksamhetsstörning.
Av planerna ska det även framgå hur clearingbolaget ska prioritera, och besluta om, vilka åtgärder som bolaget ska vidta beroende på typen och omfattningen av ett avbrott eller en större verksamhetsstörning.
3 §Beredskapsplaner, kontinuitetsplaner och återställningsplaner ska vara enkla att tillämpa och vara lätta att tillgå även om det inträffar avbrott, störningar eller kriser.
Analys av verksamheten
4 §Ett clearingbolag ska regelbundet analysera konsekvenserna av sådana avbrott eller större störningar som kan inträffa i bolagets verksamhet samt i den verksamhet som bolaget har uppdragit åt någon annan att utföra.
5 §Konsekvensanalysen enligt 4 § ska omfatta alla affärsenheter och stödfunktioner och ta hänsyn till hur de är beroende av varandra. Ett clearingbolag ska använda analysen som underlag för att
fastställa bolagets prioriteringar för att på ett ändamålsenligt sätt hantera ett avbrott eller en större verksamhetsstörning,
fastställa bolagets prioriteringar och mål för att återuppta verksamheten efter ett avbrott eller en större verksamhetsstörning, och
ta fram beredskapsplaner, kontinuitetsplaner och återställningsplaner.
Kritisk verksamhet
6 §Ett clearingbolag ska fastställa den längsta tillåtna tiden för avbrott i en kritisk verksamhet.
7 §Ett clearingbolag ska, om det inte är uppenbart obehövligt, ha minst ett alternativt driftställe som bolaget utan dröjsmål kan ta i bruk för att säkerställa att det kan upprätthålla driften av kritisk verksamhet eller återuppta den inom kort efter ett avbrott.
Ett alternativt driftställe ska vara geografiskt åtskilt från det ordinarie driftstället och inte vara beroende av samma fysiska infrastruktur som det ordinarie driftstället.
Kommunikation
8 §Ett clearingbolag ska ha rutiner för att hantera sin interna och externa kommunikation i samband med ett avbrott eller en större verksamhetsstörning. När bolaget planerar kommunikationen ska det ta hänsyn till om ett avbrott eller en störning kan påverka det finansiella systemet.
Utbildning
9 §Ett clearingbolag ska regelbundet utbilda och informera sin personal om hur den ska använda bolagets beredskapsplaner, kontinuitetsplaner och återställningsplaner.
Övning och testning av planer
10 §Ett clearingbolag ska testa sina beredskapsplaner, kontinuitetsplaner och återställningsplaner samt öva på att tillämpa dem.
Övningarna ska vara scenariobaserade. I testerna ska det ingå praktiska moment som, i förekommande fall, ska inbegripa hur clearingbolaget ska övergå från det ordinarie driftstället till ett alternativt driftställe. De genomförda övningarna och testerna ska utvärderas.
Övningar och tester ska genomföras
regelbundet, minst årligen,
i samband med omfattande ändringar av it-system som påverkar kritisk verksamhet, och
om det behövs i andra fall än de som avses i 1 och 2.
11 §Ett clearingbolag ska fastställa vilka typer av övningar och tester enligt 10 § som bolaget ska genomföra och hur ofta de ska genomföras.
Styrelsen ska minst årligen få information om resultatet från övningarna och testerna.
Uppdatering av planer
12 §Ett clearingbolag ska regelbundet, minst årligen, utvärdera och, om det behövs, uppdatera sina beredskapsplaner, kontinuitetsplaner och återställningsplaner. Bolaget ska när det bedömer om en plan behöver uppdateras, beakta de utvärderingar som enligt 10 § andra stycket ska göras av övningar och tester.
Bolaget ska utse en person eller en funktion som ansvarar för att planerna uppdateras.
6 kap. Kapital
Krav på eget kapital
1 §Ett clearingbolag ska ha ett eget kapital som minst uppgår till ett belopp som beräknas som summan av
ett riskbaserat kapitalkrav beräknat enligt 3 §, och
ett kapitalkrav för att kunna fortsätta att bedriva kritisk verksamhet, beräknat enligt 4 §.
Beloppet ska fastställas av styrelsen. Beräkningen av beloppet ska dokumenteras.
2 §Styrelsen ska minst årligen, eller oftare om det behövs, fastställa clearingbolagets kapitalkrav enligt 1 §.
Styrelsen ska regelbundet övervaka storleken på bolagets egna kapital.
Beräkning av riskbaserat kapitalkrav
3 §Ett clearingbolag ska, när det beräknar sitt riskbaserade kapitalkrav, utgå från de risker som bolaget har identifierat enligt 3 kap. och som kan få en negativ påverkan på bolagets finansiella ställning. Bolaget ska beakta relevanta riskscenarier vid beräkningen.
Vid beräkningen får clearingbolaget beakta effekterna av de åtgärder som bolaget har vidtagit för att motverka riskerna.
Beräkning av kapitalkrav för kritisk verksamhet
4 §Ett clearingbolag ska beräkna ett kapitalkrav för att bolaget ska kunna fortsätta att bedriva kritisk verksamhet även om förluster uppstår. Kapitalkravet ska beräknas som ett belopp som motsvarar bolagets rörelsekostnader under de senaste sex månaderna.
Om ett clearingbolag inte har bedrivit någon clearingverksamhet under de senaste sex månaderna ska kapitalkravet beräknas som ett belopp som motsvarar de rörelsekostnader som bolaget kan förväntas ha under de kommande sex månaderna.
Rapportering
5 §Ett clearingbolag ska meddela Finansinspektionen om det egna kapitalet understiger det fastställda kapitalkravet.
7 kap. Uppdragsavtal
Allmänt om krav på verksamhet som omfattas av uppdragsavtal
1 §Ett clearingbolag ska ha system, resurser och interna regler som säkerställer att verksamhet som omfattas av sådana uppdragsavtal som avses i 3 kap. 6 § lagen (2024:114) om clearing och avveckling av betalningar bedrivs i enlighet med de regler som gäller för bolagets verksamhet.
Styrelsen eller den verkställande direktören ska besluta om de interna reglerna.
2 §Det ska framgå av de interna reglerna enligt 1 § hur clearingbolaget ska säkerställa att det uppfyller de krav som anges i 3–11 §§.
Åtgärder inför att ett uppdragsavtal ingås
3 §Ett clearingbolag ska genomföra en riskbedömning innan det uppdrar åt någon annan att utföra uppgifter som är av betydelse för clearingverksamheten. Bolaget ska identifiera, analysera och bedöma de risker som det innebär att uppdra åt någon annan att utföra uppgifterna.
Clearingbolaget ska särskilt beakta operativa risker som kan påverka dess driftssäkerhet, inbegripet risken för att uppgifterna inte utförs fullständigt eller utförs felaktigt.
4 §Ett clearingbolag som avser att uppdra åt någon annan att utföra uppgifter som är av betydelse för clearingverksamheten, ska säkerställa att det har personal med tillräcklig kompetens och erfarenhet för att kunna följa upp den verksamhet som omfattas av uppdragsavtal på det sätt som anges i 8 §.
5 §Ett clearingbolag som avser att ingå ett uppdragsavtal ska välja en uppdragstagare med omsorg genom att säkerställa att uppdragstagaren
har den kunskap, kompetens och kapacitet som krävs för att utföra uppgifterna på ett tillfredsställande sätt samt har de tillstånd som krävs enligt lagar och andra författningar, och
kan förväntas utföra uppdraget i enlighet med 7 § första stycket 2.
6 §Ett clearingbolag ska dokumentera
de bedömningar som bolaget ska göra enligt 3 §,
hur bolaget ska säkerställa att det uppfyller de krav på kompetens och erfarenhet som anges i 4 §, och
hur bolaget har bedömt att uppdragstagaren uppfyller de krav som anges i 5 §.
Åtgärder i samband med att ett uppdragsavtal ingås
7 §Ett clearingbolag som ingår ett uppdragsavtal ska säkerställa att
bolaget och dess revisorer
ges tillgång till uppgifter om den del av uppdragstagarens verksamhet som omfattas av uppdragsavtalet, och
har obegränsad rätt till revision av den verksamhet som omfattas av uppdragsavtalet och ges tillträde till uppdragstagarens lokaler och tillgång till dess it-system, och
uppdragstagaren
uppfyller de krav som följer av lagar och andra författningar som är tillämpliga på de uppgifter som uppdraget avser,
löpande övervakar och kvalitetssäkrar hur de uppgifter som omfattas av uppdragsavtalet utförs och på ett ändamålsenligt sätt hanterar risker i den verksamhet som omfattas av uppdragsavtalet,
informerar bolaget om alla händelser som kan innebära att den inte längre har förmåga att utföra de uppgifter som uppdraget avser på ett tillfredsställande sätt och i enlighet med lagar och andra författningar som gäller för bolagets verksamhet,
följer bolagets interna regler i de delar som är relevanta för de uppgifter som uppdraget avser,
skyddar all konfidentiell information som avser bolaget eller dess kunder,
uppfyller de krav som anges i 5 kap. när det gäller de uppgifter som uppdraget avser,
har en uppsägningstid som är tillräckligt lång för att bolaget ska kunna övergå till en alternativ lösning om uppdragstagaren säger upp avtalet,
inte utan bolagets medgivande i sin tur får uppdra åt någon annan att utföra uppgifter som ingår i uppdraget, och
ansvarar enligt uppdragsavtalet även om den i sin tur uppdrar åt någon annan att utföra uppgifter som ingår i uppdraget.
Uppdragsavtalet ska vara skriftligt.
Åtgärder under avtalstiden
8 §Ett clearingbolag ska löpande följa upp den verksamhet som omfattas av ett uppdragsavtal genom att
övervaka och kontrollera att uppdragstagaren utför uppgifterna på ett tillfredsställande sätt och i enlighet med det som anges i 7 § första stycket 2,
vidta ändamålsenliga åtgärder om uppdragstagaren inte utför uppgifterna på det sätt som anges i 1,
hantera de risker som kan uppstå med anledning av att bolaget har uppdragit åt någon annan att utföra uppgifterna, och
kontrollera att uppdragstagaren uppfyller de krav som framgår av 5 § 1.
9 §Ett clearingbolags funktion för internrevision ska löpande granska den verksamhet som omfattas av ett uppdragsavtal.
10 §Ett clearingbolag ska informera Finansinspektionen om väsentliga förändringar i den verksamhet som omfattas av ett uppdragsavtal.
Åtgärder för att kunna avsluta ett uppdrag
11 §Ett clearingbolag ska säkerställa att ett uppdrag att utföra uppgifter av betydelse för clearingverksamheten kan avslutas utan att det medför större störningar i den verksamheten och utan att det begränsar bolagets möjlighet att uppfylla de krav som gäller för clearingverksamheten.
Clearingbolaget ska ha ändamålsenliga planer för hur ett uppdrag ska kunna avslutas på det sätt som anges i första stycket. Det ska av planerna åtminstone framgå
de alternativa sätt som uppgifterna kan utföras på och riskerna förenade med de alternativen, och
en beskrivning av
konsekvenserna av att uppdraget avslutas och att uppgifterna i stället ska utföras av clearingbolaget eller någon annan,
de åtgärder som behöver vidtas med anledning av att uppdraget ska avslutas, och
den tid och de resurser som bolaget bedömer kommer att krävas för de åtgärder som anges i b.
Clearingbolaget ska regelbundet utvärdera planerna och uppdatera dem om det behövs.
Ansökan om godkännande av uppdragsavtal
12 §En ansökan om godkännande enligt 3 kap. 6 § andra stycket lagen (2024:114) om clearing och avveckling av betalningar av ett uppdragsavtal som innebär en väsentlig förändring av förutsättningarna för clearingverksamheten ska innehålla
en beskrivning av de uppgifter som uppdragstagaren ska utföra,
en beskrivning av hur clearingbolaget säkerställer att bolaget uppfyller de krav som anges i detta kapitel,
bedömningar enligt 3–5 §§, och
en beskrivning av hur bolaget ska uppfylla kraven i 8 §.
Uppdragsavtalet ska ges in tillsammans med ansökan.
Ikraftträdande- och övergångsbestämmelser
2024:5
Dessa föreskrifter träder i kraft den 1 juli 2024.
Bestämmelserna i 7 kap. 1–11 §§ ska när det gäller uppdragsavtal som har ingåtts före ikraftträdandet tillämpas från och med den 1 juli 2025.
2024:34
Dessa föreskrifter träder i kraft den 17 januari 2025.
2026:22
Dessa föreskrifter träder i kraft den 1 juli 2026.