Kort fortalt
Finanstilsynets it-tilsyn
Konklusion
Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed er ikke tilfredsstillende. Konsekvensen
er, at der er risiko for, at virksomhedernes it-sikkerhed ikke er tilstrækkelig til at forhindre brud på it-sik-
kerheden til skade for kunderne og samfundet.
Statsrevisorerne udtaler
”Statsrevisorerne finder Finanstilsynets tilsyn med finansielle
virksomheders it-sikkerhed utilfredsstillende. Det utilfredsstil-
lende tilsyn øger risikoen for it-nedbrud, økonomiske tab og
tab af tillid fra kunder og omverden.
Statsrevisorerne finder det bekymrende, at Finanstilsynet ik-
ke har inspiceret it-sikkerheden i en tredjedel af de systemisk
vigtige finansielle virksomheder inden for det 4-årige interval,
som de skal ifølge deres retningslinjer. Der er i gennemsnit gået
4�½ år mellem inspektionerne, og for nogle af virksomhe-der-
ne er der gået over 7 år”.
Baggrund og formål med undersøgelsen
Formålet med undersøgelsen er at vurdere, om Finanstilsy-
net har ført et tilfredsstillende tilsyn med finansielle virk-
somheders it-sikkerhed. Undersøgelsen vedrører perioden
2017-2023.
Da næsten alle økonomiske aktiviteter foregår digitalt i
Danmark, er det vigtigt, at finansielle virksomheders it-
sikkerhed er tilstrækkelig til at forhindre it-nedbrud. Sam-
tidig vurderer Finanstilsynet, at it-sikkerheden er en af de
væsentligste risikofaktorer for den finansielle sektor, og
Center for Cybersikkerhed vurderer, at trusselsniveauet
mod den finansielle sektor er højt.
Det er Finanstilsynets opgave at føre tilsyn med, om finan-
sielle virksomheder har betryggende kontrol- og sikrings-
foranstaltninger på it-området. Finanstilsynet skal løbende
risikovurdere virksomhedernes it-sikkerhed og inspicere it-
sikkerheden i de væsentligste og mest risikofyldte virksom-
heder. Finanstilsynet har vurderet, at konsekvenserne af
eventuelle it-nedbrud i de væsentligste virksomheder er så
store, at de skal inspiceres mindst hvert fjerde år.
Tabellen viser, hvor mange år der er gået mellem Finanstil-
synets it-inspektioner i de væsentligste virksomheder.
Antal år mellem Finanstilsynets it-inspektioner
Væsentligste resultater af undersøgelsen
• Finanstilsynet har årligt risikovurderet it-sikkerheden
i de finansielle virksomheder, der er så væsentlige, at
nedbrud vil kunne true den finansielle stabilitet. Men
de mangler at risikovurdere en del af de øvrige finan-
sielle virksomheders it-sikkerhed.
• Finanstilsynet har ikke inspiceret it-sikkerheden i en
tredjedel af de væsentligste virksomheder så ofte,
som de skulle. Finanstilsynet har fastsat en minimums-
frekvens for inspektionerne på 4 år, men for nogle af
virksomhederne er der gået over 7 år mellem inspek-
tionerne.
• Der er risikofyldte områder som fx adgangsstyring og
fysisk sikkerhed, der ikke er blevet inspiceret i flere år.
• Finanstilsynet har givet hovedparten af de væsentlig-
ste virksomheder påbud om at forbedre deres it-sik-
kerhed og har fulgt op på, om de efterlever påbudde-
ne. Virksomhederne har dog overskredet fristerne for
efterlevelse af påbud med ca. 2 år i gennemsnit. Fi-
nanstilsynet har ikke udstedt bøder eller politianmeldt
virksomheder i den periode, vi har undersøgt.
Note: Perioden er regnet fra tidspunktet for gennemførelsen af den forrige it-inspek-
tion til tidspunktet for gennemførelsen af den næste inspektion.
Læs hele rapporten på
www.rigsrevisionen.dk.
Kontakt Rigsrevisionens
pressechef Lisbeth Sørensen på tlf. 33 92 85 06/[email protected]
eller Statsrevisorernes sekretariatschef Michala Krakauer på tlf. 33 37
59 89/[email protected] for yderligere information.