Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del
Offentligt
2708593_0001.png
Folketingets Udvalg for Digitalisering og It
ERHVERVSMINISTEREN
17. maj 2023
Besvarelse af spørgsmål 41 alm. del stillet af udvalget den 20. april
2023 efter ønske fra Lisbeth Bech-Nielsen (SF).
Spørgsmål:
Med henvisning til bekendtgørelse om ledelse og styring af pengeinstitutter
m.fl. - særligt bilag 5 og 7, bekendtgørelse af lov om finansiel virksomhed
og bekendtgørelsen om outsourcing for kreditinstitutter m.v., mener mini-
steren, at de tre bekendtgørelser er dækkende for kritisk finansiel infra-
struktur, herunder i forhold til IT- og cybersikkerhed og effektiv kontrol og
håndhævelse på området?
Svar:
Jeg har forelagt spørgsmålet for Finanstilsynet, der har oplyst følgende:
”Pengeinstitutterne og de fælles
datacentraler skal i henhold til lov om fi-
nansiel virksomhed have betryggende kontrol- og sikringsforanstaltninger
på IT-området. Kravene til IT- og cybersikkerhed fremgår bl.a. af outsour-
cingbekendtgørelsen samt ledelsesbekendtgørelsens bilag 5 og 7. Særligt
bilag 5 stiller en række krav til virksomhedernes IT- og cybersikkerhed,
herunder krav om, at virksomhederne skal udarbejde og implementere for-
retningsgange for at forebygge og minimere IT-sikkerhedsproblemer. For-
retningsgangene skal omfatte alle relevante foranstaltninger for at mod-
virke sandsynlige risici under hensyn til virksomhedernes størrelse, karak-
ter og risikoprofil. Reglerne om IT- og cybersikkerhed og outsourcing skal
være med til at sikre, at virksomhederne har betryggende kontrol- og sik-
ringsforanstaltninger på IT-området.
I Danmark varetager de fælles datacentraler en vigtig rolle i den kritiske
finansielle infrastruktur, da de udfører IT-drift og -udvikling for størstede-
len af de danske pengeinstitutter. De fælles datacentraler er omfattet af Fi-
nanstilsynets tilsyn og kravene til IT- og cybersikkerhed og outsourcing på
linje med de store pengeinstitutter. Derudover er de fælles datacentraler
omfattet af særlige krav til gennemførelse af systemrevision, der er regule-
ret i bekendtgørelse om systemrevisionens gennemførelse i fælles datacen-
traler.
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf.
33 92 33 50
Fax.
33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
[email protected]
www.em.dk
DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 41: Spm., om bekendtgørelser er dækkende for kritisk finansiel infrastruktur, herunder i forhold til IT- og cybersikkerhed og effektiv kontrol og håndhævelse på området
2/2
På EU-niveau er der vedtaget en ny forordning om digital operationel mod-
standsdygtighed, DORA. DORA-forordningen vil finde anvendelse for alle
finansielle virksomheder fra den 17. januar 2025. De kommende regler stil-
ler en række nye krav til de finansielle virksomheders IT- og cybersikker-
hed. DORA-forordningen vil medføre en udvidelse og harmonisering af
reglerne på tværs af den finansielle sektor.
Lovgivningen i forhold til IT- og cybersikkerhed i den finansielle sektor
bliver løbende opdateret, så den følger med udviklingen i truslen mod sek-
torens IT- og cybersikkerhed og den øgede IT-anvendelse.
Finanstilsynet fører et risikobaseret tilsyn med overholdelsen af reglerne
om IT- og cybersikkerhed for finansielle virksomheder m.v., herunder kri-
tisk finansiel infrastruktur, med henblik på at sikre finansiel stabilitet og
tilliden til den finansielle sektor hos borgere og virksomheder.”
Jeg mener, at det er vigtigt, at lovgivningen stiller de nødvendige krav i
forhold til IT- og cybersikkerhed for den kritiske finansielle infrastruktur,
og understøtter en effektiv kontrol og håndhævelse på området. På bag-
grund af ovenstående er det vurderingen, at det lovgivningsmæssige grund-
lag aktuelt er dækkende, og der bliver løbende arbejdet med, at lovgivnin-
gen til stadighed er opdateret.
Med venlig hilsen
Morten Bødskov