Fjármálainnviðir eru grunnkerfi fjármálakerfisins og gegna lykilhlutverki við greiðslur, uppgjör og miðlun fjármuna. Viðnámsþróttur þeirra felst í því að innviðirnir geti staðist áföll, brugðist hratt við rekstrartruflunum og tryggt áframhaldandi virkni nauðsynlegrar fjármálaþjónustu.

Eitt lögbundinna hlutverka Seðlabankans er að  stuðla að virku og öruggu fjármálakerfi, þ.m.t. greiðslumiðlun í landinu og við útlönd. Til að sinna þessu hlutverki þarf að taka mið af breyttu áhættulandslagi og efla varnir fyrir fjármálainnviði.

Seðlabankinn leggur áherslu á að efla viðnámsþrótt fjármálakerfisins í heild með því að stuðla að lágmörkun áhættu, samhæfingu viðbragða og rekstrarsamfellu þeirra innviða sem nauðsynleg fjármálaþjónusta byggist á.

Atvikamiðstöð fjármálainnviða er vettvangur á vegum Seðlabanka Íslands þar sem þátttakendur í samhæfingaráætlun fjármálakerfisins geta átt samskipti um rekstraratvik, grun um atvik eða hættu á atviki og eftir atvikum samhæft viðbrögð sín við þeim.

Atvikamiðstöð fjármálainnviða hefur það hlutverk að lágmarka áhrif rekstrar- eða netöryggisatvika fjármálainnviða á fjármálastöðugleika með því að tryggja tímabær, samhæfð og skilvirk viðbrögð þátttakenda.

Markmið atvikamiðstöðvarinnar er að draga úr áhrifum alvarlegra atvika á fjármálainnviði landsins.

Þátttakendur í atvikamiðstöðinni eru Seðlabanki Íslands, rekstraraðilar kerfislega mikilvægra fjármálainnviða, kerfislega mikilvægir eftirlitsskyldir aðilar, aðrir aðilar sem falla undir samhæfingaráætlun fjármálakerfisins eftir mati Seðlabankans, auk Netöryggissveitar íslenskra stjórnvalda, CERT-IS.

Seðlabanki Íslands ber ábyrgð á rekstri atvikamiðstöðvar fjármálainnviða og hefur eftirlit með starfsemi hennar. Reglur um atvikamiðstöðina voru samþykktar af fjármálastöðugleikanefnd og tóku gildi 3. desember 2025.

Samstarfsvettvangi um rekstraröryggi fjármálainnviða (SURF) er ætlað að móta sameiginlega sýn á aðgerðir til að efla viðnámsþrótt fjármálainnviða gegn rekstrartruflunum og koma aðgerðum í framkvæmd. Samstarfsvettvanginum er jafnframt ætlað að styrkja viðnámsþrótt fjármálainnviða hér á landi gagnvart hvers konar rekstrartruflunum og vera vettvangur fyrir upplýsingaskipti um rekstraröryggi og þekkingarmiðlun. Vettvangurinn skal sinna verkefnum sem eru nauðsynleg til að undirbúa fjármálakerfið til að takast á við áföll svo sem:

• Vinna reglulegar áhættugreiningar sem snúa að rekstraráhættum fjármálainnviða, meta möguleg áhrif af truflunum á innviði fjármálakerfisins og leggja til við Seðlabankann mögulegar aðgerðir í fjármálakerfinu sem ráðast þarf í til að draga úr áhættu og efla viðnámsþrótt
• Miðla og greina ógnargreind (e. threat intelligence) fyrir fjármálakerfið og stuðla að reglulegum upplýsingaskiptum um netöryggisprófanir
• Samhæfa viðbrögð við rekstrartruflunum sem geta haft áhrif á öryggi og skilvirkni fjármálakerfisins í gegnum atvikamiðstöð fjármálainnviða, skipuleggja æfingar, leggja fram tillögur til Seðlabankans að áætlunum varðandi viðbrögð og greina atvik sem hafa komið upp
• Vinna reglulegar greiningar á venslum í fjármálakerfinu og móta tillögur til Seðlabankans um mögulegar aðgerðir til að lágmarka áhrif samþjöppunar

Samstarfsvettvangurinn starfar undir forystu Seðlabanka Íslands og byggist á þátttöku rekstraraðila kerfislega mikilvægra innviða, kerfislega mikilvægra aðila, annarra aðila sem falla undir samhæfingaráætlun fjármálakerfisins og netöryggissveitar íslenskra stjórnvalda (CERT-IS).

Samstarfsvettvangurinn hefur starfað frá árinu 2022 en var endurskipaður á árinu 2025 samhliða því að atvikamiðstöð fjármálainnviða var komið á fót.

Stefna Seðlabanka Íslands um netöryggi fjármálakerfisins setur fram leiðbeinandi áherslur varðandi netöryggi í fjármálakerfinu. Stefnunni er ætlað að styðja við stefnumótun, markmiðasetningu og forgangsröðun umbóta í netöryggismálum hjá Seðlabankanum og aðilum fjármálakerfisins.

Megináherslur stefnunnar eru forvarnir í netöryggi, viðnámsþróttur í rekstri fjármálainnviða og samstarf um netöryggi og viðbrögð. Með þessum áherslum er leitast við að draga úr líkum á alvarlegum netatvikum, takmarka áhrif þeirra ef þau verða og styrkja samhæfingu innan fjármálakerfisins.

TIBER-IS er umgjörð um netárásaprófanir fyrir stofnanir og fyrirtæki sem eru mikilvæg fyrir íslenskt fjármálakerfi. Umgjörðin var innleidd af Seðlabanka Íslands í febrúar 2023. Henni er ætlað að auka skilning þátttakenda í prófunum á getu sinni til að verjast netárásum og þannig efla viðnámsþrótt þeirra og fjármálakerfisins í heild. TIBER-IS er byggð á TIBER-EU umgjörð Evrópska Seðlabankans (ECB) og innleiðir hana að fullu.

TIBER-EU umgjörðin er þróuð af ECB til að unnt sé að framkvæma netárásaprófanir á staðlaðan hátt og þannig prófa viðnámsþrótt gegn netógnum hjá stofnunum sem eru mikilvægar fyrir fjármálakerfið á EES svæðinu. Prófunin, þekkt sem „red team testing“, felst í vel undirbúinni hermun netárásar á starfsfólk, ferla og tækniumhverfi stofnunar. Tilgangurinn er að greina veikleika í vörnum og þannig efla viðnámsþrótt stofnunarinnar, jafnframt því að þjálfa starfsfólk stofnunarinnar í netvörnum.

Helstu áherslur í TIBER-EU og þar með TIBER-IS eru:

• Efla viðnámsþrótt fjármálamarkaðarins gegn netógnum.
• Staðla og samræma netárásapróf á EES-svæðinu.
• Veita stuðning í tengslum við próf stofnana sem starfa í fleiri en einu landi.

Með TIBER-IS er stuðlað að samræmdri framkvæmd netárásaprófana, auknum lærdómi og sterkari viðnámsþrótti bæði einstakra þátttakenda og fjármálakerfisins í heild.

Í ársbyrjun 2026 tóku gildi lög nr. 78/2025 um stafrænan viðnámsþrótt fjármálamarkaðar en með þeim var innleidd reglugerð (ESB) 2022/2554, um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann (DORA).

Frekari upplýsingar um innleiðingu DORA hjá Seðlabanka Íslands má finna hér: Sta­frænn viðnámsþrótt­ur á fjá­r­má­la­markaði (DORA). Tilgangur DORA er að efla stafrænan viðnámsþrótt Evrópska fjármálamarkaðarins og eru í reglugerðinni settar fram heildstæðar kröfur um áhættustýringu og upplýsingaöryggi. Í DORA er jafnframt gerð krafa um ógnamiðaðar innbrotsprófanir (e. Threat Led Penetration Testing, TLPT) fyrir fjármálafyrirtæki sem eru mikilvæg fyrir fjármálastöðugleika. Seðlabankinn leggur mat á hvaða fyrirtæki falla undir skilyrði um þátttöku í prófunum og upplýsir þau með tilnefningarbréfi þess efnis.

Kröfur DORA um ógnamiðaðar innbrotsprófanir (TLPT) hafa verið innleiddar að fullu í TIBER-EU og þar með í TIBER-IS umgjörðina. Til viðbótar veitir TIBER-IS leiðbeiningar og skýringar á framkvæmd ógnamiðaðra innbrotsprófana sem styðjast við reynslu hérlendis, sem og í norrænu samstarfi.

Kröfurnar eru innleiddar á þann hátt að í DORA er því lýst hvað eigi að gera varðandi ógnamiðaðar innbrotsprófanir, en í TIBER-EU og TIBER-IS er því lýst hvernig það skuli gert. TCT-IS teymið sér um skipulag og framkvæmd TLPT prófana hérlendis.

Frekar upplýsingar um ógnamiðaðar innbrotsprófanir og TIBER-IS veitir TCT-IS, TIBER teymi Seðlabanka Íslands, TIBER-IS@sedlabanki.is.

• Lýsing á TIBER-EU (á ensku)
• TIBER-IS innleiðingarskjal á ensku