ERU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 27: Spm., om at kommentere det internt omdelte materiale om bedre IT-sikkerhed i finanssektoren, til erhvervsministeren

Erhvervsudvalget 2022-23 (2. samling)
ERU Alm.del
Offentligt

Folketingets Erhvervsudvalg

ERHVERVSMINISTEREN

3. februar 2023

Besvarelse af spørgsmål 27 alm. del stillet af udvalget den 19. januar

2023.

Spørgsmål:

Vil ministeren kommentere det internt omdelt materiale om bedre IT-sik-

kerhed i finanssektoren, jf. ERU alm. del

–

bilag 26 (internt bilag)?

Svar:

Jeg har forelagt spørgsmålet for Finanstilsynet, der har oplyst følgende,

som jeg kan henholde mig til:

”Finanstilsynet fører et risikobaseret tilsyn med overholdelsen af

reglerne

om IT-sikkerhed for finansielle virksomheder m.v. med henblik på at sikre

finansiel stabilitet og tilliden til den finansielle sektor hos borgere og virk-

somheder. Det er vigtigt, at fx bankkunder kan være trygge ved at have

deres penge i banken.

Den risikobaserede tilgang indebærer, at omfanget og dybden af IT-tilsyns-

aktiviteter tilrettelægges og prioriteres med udgangspunkt i virksomheder-

nes systemiske vigtighed og en vurdering af IT-risikoen blandt de ca. 450

væsentligste finansielle virksomheder, datacentraler, udbydere af beta-

lingstjenester m.v. under IT-tilsyn. En vurdering af IT-risikoen sker bl.a.

med afsæt i en vurdering af de systemiske og samfundsmæssige konse-

kvenser ved brud på IT-sikkerhed i de enkelte virksomheder.

I den forbindelse er det væsentligt at bemærke, at den systemiske IT-risiko

på bankområdet primært er koncentreret hos nogle få pengeinstitutter og

fællesejede datacentraler. Det skyldes, at kun få pengeinstitutter drifter de-

res egen IT, mens de fællesejede datacentraler varetager IT-driften for de

øvrige, og dermed for størstedelen af de danske pengeinstitutter. Derfor er

Finanstilsynets største tilsynsindsats også rettet mod disse virksomheder.

Finanstilsynet gennemfører derfor særskilte IT-inspektioner i de systemisk

vigtige virksomheder, datacentraler og finansielle infrastrukturselskaber.

For de ikke-systemiske finansielle virksomheder indgår IT-sikkerhed som

et element i det generelle tilsyn og inspektioner i disse virksomheder.

På baggrund af den stigende IT-afhængighed samt udviklingen i trussels-

billedet har Finanstilsynet gennem de seneste år øget fokusset på IT-sik-

kerhed og udvidet antallet af medarbejdere, som specifikt har med IT-tilsyn

ERHVERVSMINISTERIET

Slotsholmsgade 10-12

1216 København K

Tlf.

33 92 33 50

Fax.

33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

[email protected]

www.em.dk

ERU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 27: Spm., om at kommentere det internt omdelte materiale om bedre IT-sikkerhed i finanssektoren, til erhvervsministeren

2/3

at gøre. Finanstilsynet oprettede i efteråret 2021 et separat kontor for tilsyn

med IT-sikkerhed for at styrke tilsynet på området. Kontoret varetager bl.a.

tilsyn med IT-sikkerhed i de systemisk virksomheder og er ekspertisecenter

for Finanstilsynets arbejde med IT-sikkerhed i den finansielle sektor. Af-

delingen består på nuværende tidspunkt 11 medarbejdere, hvoraf to er de-

dikeret til arbejde med sektorstrategien for cyber- og informationssikker-

hed mv.

Siden 2020 er der gennemført 10 IT-inspektioner hos systemiske virksom-

heder, hvoraf redegørelserne fremgår på Finanstilsynets hjemmeside.

Finanstilsynets inspektioner afsluttes med en inspektionsredegørelse, som

offentliggøres på virksomhedernes og Finanstilsynets hjemmeside. Til-

synsreaktioner såsom påbud, vil fremgå af redegørelserne. Det enten som

en del af en særskilt redegørelse fsva. inspektioner i de systemiske virk-

somheder eller som en del af en samlet redegørelse fra en generel inspek-

tion fsva. de øvrige virksomheder. Offentliggørelsen sikrer transparens for

omverdenen om situationen i de enkelte virksomheder.

Det fremgår af præsentationen til Erhvervsudvalget, at der ikke er opgjort

nogle påbud for IT-tilsyn. Dette beror på en misforståelse. For at se, hvilke

tilsynsreaktioner, herunder påbud, Finanstilsynet har uddelt skal man kigge

under

Inspektionsredegørelser.

I 2022 offentliggjorde Finanstilsynet seks

særskilte IT-inspektionsredegørelser.

Når Finanstilsynet har givet påbud og påpeget forbedringsprojekter hos

virksomhederne, følger Finanstilsynet op på, at virksomhederne får adres-

seret de centrale IT-risici som påbuddene skal håndtere. Derudover har Fi-

nanstilsynet flere andre tilsynsaktiviteter med virksomhederne som gen-

nemføres som led i det løbende tilsyn og risikoafdækning af systemiske

virksomheder. Det indebærer eksempelvis regelmæssige IT-risikomøder,

og overvågning af større IT-sikkerhedshændelser.

Som led i en væsentlig styrkelse af indsatsen i forhold til cyber- og infor-

mationssikkerhed blev Finanstilsynet, som led i den nationale strategi på

området, i 2018 udpeget som decentral enhed for cyber- og informations-

sikkerhed for finanssektoren (DCIS). Finanstilsynet har i kraft af sin rolle

som DCIS ansvaret for den tværgående indsats for cyber- og informations-

sikkerhed på det finansielle område og samarbejder med de øvrige sam-

fundskritiske sektorer, herunder energi og tele. Herudover samarbejder

DCIS'en med en række enheder, herunder det offentlig/private samarbejds-

forum Finansielt Sektorforum for Operationel Robusthed (FSOR) ledet af

Nationalbanken, om at styrke cybersikkerheden i den finansielle sektor.

Der er desuden et omfattende samarbejde på IT- og cybersikkerhedsområ-

ERU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 27: Spm., om at kommentere det internt omdelte materiale om bedre IT-sikkerhed i finanssektoren, til erhvervsministeren

3/3

det mellem Finanstilsynet og Nationalbanken, som overvåger, at de syste-

misk vigtige betalings- og afviklingssystemer og de vigtigste betalingsløs-

ninger er sikre og effektive.

For at styrke robustheden i den finansielle sektor og styrke de systemisk

vigtige virksomheders evne til at genoprette driften efter et eventuelt alvor-

ligt nedbrud har Finanstilsynet iværksat et program om styrket operationel

robusthed. Programmet skal gennem cyberstresstest kortlægge, hvad der

vil ske i tilfælde af omfattende IT-nedbrud i sektoren. Finanstilsynet under-

støtter, at de enkelte virksomheder forebygger og reducerer konsekven-

serne af et nedbrud.

I takt med udviklingen i trusselsbilledet på IT-sikkerhedsområdet er regu-

leringen og kravene til IT-sikkerhed i den finansielle sektor ligeledes lø-

bende blevet udbygget. Kravene til IT-sikkerhed fremgår af ledelsesbe-

kendtgørelsens bilag 5. Det dækker eksempelvis over IT-risikostyring, ad-

gangsstyring og logning, beredskabsstyring og fysisk sikkerhed. Virksom-

hederne skal bl.a. sikre, at fysiske sikringsforanstaltninger bliver defineret,

dokumenteret og implementeret for at beskytte ejendomme, datacentre og

følsomme områder mod uautoriseret adgang og mod klima- og miljøfarer.

Endvidere skal virksomheden etablere overvågning og foranstaltninger for

at kunne opdage og rapportere fysisk eller logisk indtrængen. Finanstilsy-

net fører tilsyn med virksomhedernes overholdelse af disse regler.

Senest er der på EU-niveau vedtaget en ny forordning om digital operatio-

nel modstandsdygtighed (DORA), der bl.a. har til formål at styrke robust-

heden mod cyberangreb. DORA-forordningen er trådt i kraft den 16. januar

2023 og vil finde anvendelse for alle finansielle virksomheder fra den 17.

januar 2025. De kommende regler vil stille en række nye krav til finansielle

virksomheders risikostyring og beredskab i forhold til cybersikkerhed. De

nye regler vil desuden betyde en yderligere forøgelse af IT-tilsynets om-

fang.

Lovgivningen er således løbende blevet strammet og opdateret i takt med

den øgede IT-anvendelse og risiko i den finansielle sektor, ligesom tilsyns-

indsats er øget.”

Med venlig hilsen

Morten Bødskov