Finansudvalget 2023-24
FIU Alm.del Bilag 191
Offentligt
2867641_0001.png
Maj 2024
— 14/2023
Rigsrevisionens beretning afgivet
til Folketinget med Statsrevisorernes
bemærkninger
Finanstilsynets it-tilsyn
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
14/2023
Beretning om
Finanstilsynets it-tilsyn
Statsrevisorerne fremsender denne beretning med
deres bemærkninger til Folketinget og vedkommende
minister, jf. § 3 i lov om statsrevisorerne og § 18, stk. 1,
i lov om revisionen af statens regnskaber m.m.
København 2024
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres bemærkning Rigsrevisionens beretning til Folketinget og ved kom-
mende minister.
Erhvervsministeren afgiver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministerens redegørelse.
På baggrund af ministerens redegørelse og rigsrevisors notat tager Statsrevisorerne endelig stilling til beret-
ningen, hvilket forventes at ske i september 2024.
Ministerens redegørelse, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles
i Statsrevisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar må -
ned
i dette tilfælde Endelig betænkning over statsregnskabet 2023, som afgives i februar 2025.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0003.png
Statsrevisorernes bemærkning tager udgangspunkt i denne karakterskala:
Karakterskala
Positiv kritik
finder det meget/særdeles positivt
finder det positivt
finder det tilfredsstillende/er tilfredse med
Kritik under middel
Middel kritik
finder det ikke helt tilfredsstillende
finder det utilfredsstillende/er utilfredse med
påpeger/understreger/henstiller/forventer
beklager/finder det bekymrende/foruroligende
Skarp kritik
Skarpeste kritik
kritiserer/finder det kritisabelt/kritiserer skarpt/indskærper
påtaler/påtaler skarpt
påtaler skarpt og henleder særligt Folketingets opmærksomhed på
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Tlf.: 3337 5987
[email protected]
www.ft.dk/statsrevisorerne
ISSN 2245-3008
ISBN online 978-87-7434-836-8
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0004.png
Statsrevisorernes bemærkning
Statsrevisorernes
bemærkning
Statsrevisorerne
Beretning om Finanstilsynets it-tilsyn
Statsrevisorerne har anmodet om denne undersøgelse af, om Finanstilsy-
net har ført et tilfredsstillende tilsyn med finansielle virksomheders it-sik-
kerhed.
Finanstilsynet skal føre tilsyn med virksomhederne i den finansielle sek-
tor. Tilsynet omfatter bl.a. tilsyn med it-sikkerhed. Siden 2018 har Finans-
tilsynet vurderet, at it-sikkerhed er et af de væsentligste risikoområder
for den finansielle sektor, og Center for Cybersikkerhed har vurderet, at
trusselsniveauet mod den danske finansielle sektor er meget højt.
Finanstilsynet er fuldt finansieret af afgifter fra de virksomheder, der er
underlagt tilsynet. I 2023 udgjorde udgifterne til Finanstilsynet 465,5 mio.
kr. Der er i alt ca. 325 finansielle virksomheder, som er underlagt Finans-
tilsynets it-tilsyn.
Statsrevisorerne finder Finanstilsynets tilsyn med finansielle virksom-
heders it-sikkerhed utilfredsstillende. Det utilfredsstillende tilsyn øger
risikoen for it-nedbrud, økonomiske tab og tab af tillid fra kunder og
omverden.
Statsrevisorerne finder det bekymrende, at Finanstilsynet ikke har in-
spiceret it-sikkerheden i en tredjedel af de systemisk vigtige finansiel-
le virksomheder inden for det 4-årige interval, som de skal ifølge de-
res retningslinjer. Der er i gennemsnit gået 4�½ år mellem inspektio-
nerne, og for nogle af virksomhederne er der gået over 7 år.
13. maj 2024
Mette Abildgaard
Leif Lahn Jensen
Mikkel Irminger Sarbo
Serdal Benli
Lars Christian Lilleholt
Monika Rubin
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0005.png
Statsrevisorernes bemærkning
Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresultater:
Finanstilsynet har stort set ikke risikovurderet it-sikkerheden for inve-
steringsforvaltningsselskaber og heller ikke for de e-penge- og beta-
lingsinstitutter og datacentraler, der ikke er systemisk vigtige.
På områder som fx adgangsstyring og fysisk sikkerhed har Finanstilsy-
net ikke gennemført it-inspektioner i flere år, selv om Finanstilsynet
selv vurderer, at en del virksomheder har høje risici på områderne.
Finanstilsynet har kun i meget begrænset omfang inspiceret investe-
ringsforvaltningsselskaber samt e-penge- og betalingsinstitutter. Den
begrænsede inspektion er sket uden foregående risikovurdering af it-
sikkerheden i virksomhederne. Finanstilsynet har derfor ikke haft et
grundlag for at vide, om fravalget af tilsyn med it-sikkerheden er hen-
sigtsmæssigt.
Finanstilsynet har fastsat frister for virksomhedernes efterlevelse af
påbud om at rette op på mangler i deres it-sikkerhed. Virksomhederne
har i gennemsnit overskredet fristerne med 2 år, og Finanstilsynet har
aldrig anvendt deres hjemmel til at sanktionere virksomheder, der ik-
ke efterlever de påbud, de har fået.
Finanstilsynet har ikke udstedt administrative bødeforlæg til virksom-
heder, som overtræder reglerne for it-sikkerhed, eller som ikke efterle-
ver Finanstilsynets påbud inden for fristen. Dette skyldes ifølge Finans-
tilsynet, at bødesatserne ved administrative bødeforlæg er så små, at
bøderne kun kan gives for overtrædelser, der kan karakteriseres som
bagatelagtige.
Statsrevisorerne kan tilslutte sig Rigsrevisionens anbefaling om, at Finans-
tilsynet supplerer offentliggørelsen af påbud med en vurdering af, hvilke
konsekvenser virksomhedernes utilstrækkelige it-sikkerhed kan have for
kunderne, så de kan se det i de offentlige redegørelser.
Statsrevisorerne anbefaler, at Finanstilsynet skærper praksis for anvendel-
se af sanktioner over for virksomheder, der ikke efterlever lovkravene til
it-sikkerhed eller overskrider fristerne for efterlevelse af påbud.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Indholdsfortegnelse
1. Introduktion og konklusion
.......................................................................................................
1
1.1. Formål og konklusion
...........................................................................................................................
1
1.2. Baggrund
....................................................................................................................................................
4
1.3. Vurderingskriterier, metode og afgrænsning
..........................................................................
6
2. Finanstilsynets it-tilsyn
..............................................................................................................
8
2.1. Tilrettelæggelse af it-tilsynet
...........................................................................................................
8
2.2. Gennemførelse af it-tilsynet
.........................................................................................................
12
2.3. It-tilsynets virkning
.............................................................................................................................
18
2.4. It-tilsynet i danske filialer af udenlandske banker
.............................................................
23
Bilag 1. Statsrevisorernes anmodning
........................................................................................................
25
Bilag 2. Metodisk tilgang
.....................................................................................................................................
26
Bilag 3. De finansielle virksomheder, der indgår i undersøgelsen
.................................................
32
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Undersøgelsen er en statsrevisoranmodning, og Rigsrevisionen af-
giver derfor beretningen til Statsrevisorerne i henhold til § 8, stk. 1,
og § 17, stk. 2, i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19.
januar 2012.
Rigsrevisionens mandat til at gennemføre undersøgelsen følger af
§ 2, stk. 1, nr. 1, jf. § 3 i rigsrevisorloven.
Beretningen vedrører finanslovens § 8. Erhvervsministeriet.
I undersøgelsesperioden 1. januar 2017 - 31. december 2023 har der
været følgende ministre:
Brian Mikkelsen: november 2016 - juni 2018
Rasmus Jarlov: juni 2018 - juni 2019
Simon Kollerup: juni 2019 - december 2022
Morten Bødskov: december 2022 -
Beretningen har i udkast været forelagt Erhvervsministeriet og
Finanstilsynet, hvis bemærkninger i videst muligt omfang er afspej-
let i beretningen.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Introduktion og konklusion
|
1
Introduktion og konklusion |
1
1. Introduktion og
konklusion
1.1.
Formål og konklusion
1. I Danmark foregår næsten alle økonomiske aktiviteter digitalt. Det gælder alt fra løn-
udbetalinger, lån og almindelige indkøb til handel med værdipapirer. Derfor kan it-ned-
brud og hackerangreb i finansielle virksomheder få store praktiske og økonomiske
konsekvenser for både borgere og virksomheder. Nogle finansielle virksomheder er i
kraft af deres størrelse eller karakteren af deres ydelser tilmed så væsentlige for den
finansielle sektor og for samfundsøkonomien, at brud på it-sikkerheden vil kunne true
den samlede finansielle stabilitet. Disse virksomheder kaldes
systemisk vigtige virk-
somheder.
Virksomheder, der ikke er systemisk vigtige benævnes i beretningen
øvri-
ge virksomheder.
Der er stor risiko for brud på it-sikkerheden. Finanstilsynet har siden 2018 vurderet, at
it-sikkerhed er et af de væsentligste risikoområder for den finansielle sektor, og Cen-
ter for Cybersikkerhed har i deres strategi for den finansielle sektors cyber- og infor-
mationssikkerhed vurderet, at trusselsniveauet mod den danske finansielle sektor er
meget højt. Desuden viser en spørgeskemaundersøgelse fra 2023, som Finanstilsy-
net har foretaget blandt finansielle virksomheder, at risikoen på it-området er noget
af det, der bekymrer virksomhederne mest, og også er noget af det, virksomhederne
finder mest udfordrende at håndtere.
2. Det er Erhvervsministeriet, der udarbejder lovgrundlaget for finansielle virksomhe-
der. I den gældende lovgivning har Finanstilsynet fået forholdsvis frie rammer til at til-
rettelægge it-tilsynet. For det første har Finanstilsynet ifølge loven hjemmel til at fast-
lægge de regler, som virksomhederne skal efterleve i forhold til it-sikkerhed, og som
Finanstilsynet dermed skal føre tilsyn med. For det andet er det op til Finanstilsynet
at fastlægge niveauet for tilsynsaktiviteten inden for lovens rammer, der foreskriver,
at tilsynet skal være baseret på væsentlighed og risiko. For det tredje er Finanstilsy-
net uafhængige af Erhvervsministeriet i udøvelsen af tilsynet. Dette indebærer ifølge
ministeriet, at ministeriet ikke har instruktionsbeføjelser over for Finanstilsynet, hver-
ken i forhold til den konkrete behandling af tilsynssager eller i forhold til den generelle
tilrettelæggelse af tilsynsvirksomheden på området for it-sikkerhed.
Krav til virksomhedernes
it-sikkerhed
Finanstilsynet har inden for
rammerne af den europæiske
banktilsynsmyndigheds ret-
ningslinjer fastsat de krav, der
er gældende for virksomhe-
dernes it-sikkerhed. Kravene
fastlægger, hvordan virksom-
hederne skal styre og lede de-
res forretning, så de bedst mu-
ligt forebygger it-hændelser og
hurtigst muligt får reetableret
driften og minimeret skade-
virkningerne, hvis der har væ-
ret it-nedbrud.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2
| Introduktion og konklusion
3. Formålet med undersøgelsen er at vurdere, om Finanstilsynet har ført et tilfredsstil-
lende tilsyn med finansielle virksomheders it-sikkerhed. Vi besvarer følgende spørgs-
mål i beretningen:
Har Finanstilsynet tilrettelagt it-tilsynet tilfredsstillende?
Har Finanstilsynet gennemført it-tilsynet tilfredsstillende?
Har Finanstilsynet understøttet, at it-tilsynet får størst mulig virkning?
4. Rigsrevisionen har igangsat undersøgelsen i april 2023 på baggrund af en anmod-
ning fra Statsrevisorerne, jf. bilag 1, hvor Statsrevisorernes spørgsmål fremgår.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0010.png
Introduktion og konklusion
|
1
Introduktion og konklusion |
3
Hovedkonklusion
Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed er ikke
tilfredsstillende. Konsekvensen er, at der er risiko for, at virksomhedernes
it-sikkerhed ikke er tilstrækkelig til at forhindre brud på it-sikkerheden til
skade for kunderne og samfundet.
Finanstilsynets tilrettelæggelse af it-tilsynet er ikke helt tilfredsstillende
Finanstilsynet har siden 2019 vurderet de systemisk vigtige virksomheders risiko på it -
området, men har kun delvist anvendt vurderingerne, når de har udvalgt virksomhe-
der til tilsyn. Derudover har Finanstilsynet stort set ikke risikovurderet it-sikkerheden
for investeringsforvaltningsselskaber og heller ikke for de e-penge- og betalingsinstitut-
ter og datacentraler, der ikke er systemisk vigtige. Dette svarer til ca. halvdelen af de
øvrige virksomheder.
Finanstilsynets gennemførelse af it-tilsynet er ikke tilfredsstillende
Finanstilsynet har i overensstemmelse med intentionerne i loven ført mere tilsyn med
de systemisk vigtige virksomheder end med de øvrige virksomheder. Finanstilsynet har
dog ikke inspiceret it-sikkerheden i en tredjedel af de systemisk vigtige virksomheder
inden for det 4-årige interval, som de skal ifølge deres retningslinjer. I gennemsnit er
der gået 4�½ år mellem inspektionerne, og for nogle af virksomhederne er der gået over
7 år. Dermed kan de systemisk vigtige virksomheder, herunder de fælles datacentraler,
som varetager it-opgaverne i næsten alle banker, have mangler i it-sikkerheden i adskil-
lige år, uden at det bliver afdækket af Finanstilsynet.
Finanstilsynet har siden 2021 gennemført smallere inspektioner for til gengæld at kun-
ne inspicere de systemisk vigtige virksomheder oftere. Det har haft den konsekvens, at
der er områder, fx
adgangsstyring
og
fysisk sikkerhed,
som Finanstilsynet ikke har gen-
nemført it-inspektioner af i flere år, selv om Finanstilsynet selv vurderer, at en del virk-
somheder har høje risici på områderne.
Finanstilsynet har kun i meget begrænset omfang inspiceret investeringsforvaltnings-
selskaber samt e-penge- og betalingsinstitutter, fordi Finanstilsynet har vurderet, at virk-
somhedernes risiko er lav. Finanstilsynet har dog ikke risikovurderet it-sikkerheden i
virksomhederne og har derfor heller ikke et grundlag for at vide, om fravalget af tilsyn
med it-sikkerheden er hensigtsmæssigt.
Fælles datacentraler
Fælles datacentraler er virk-
somheder, der står for drift og
udvikling af it-løsninger til ban-
ker og realkreditinstitutter.
It-tilsyn og inspektioner
Finanstilsynets it-tilsyn består
af forskellige aktiviteter. En
væsentlig del gennemføres
som inspektioner i virksomhe-
der, men tilsynet omfatter og-
så møder, risikovurderinger,
overvågning, opfølgning på på-
bud mv.
Vi bruger betegnelsen
inspek-
tioner,
når det alene drejer sig
om tilsynsbesøg, og betegnel-
sen
tilsyn,
når det enten om-
fatter tilsynet i sin helhed eller
flere aktiviteter end blot in-
spektioner.
Finanstilsynet understøtter ikke i tilstrækkelig grad, at it-tilsynet får størst mulig
virkning
Finanstilsynet har i forbindelse med deres tilsyn givet hovedparten af de systemisk vig-
tige virksomheder påbud om at rette op på mangler i deres it-sikkerhed. Finanstilsynet
har også sat frister for virksomhedernes efterlevelse af påbuddene og har fulgt systema-
tisk op på, om virksomhederne efterlever dem. Virksomhederne har dog overskredet
fristerne med 2 år i gennemsnit. Rigsrevisionen kan konstatere, at Finanstilsynet aldrig
har anvendt deres hjemmel til at sanktionere virksomheder, der ikke efterlever de på-
bud, de har fået.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Finanstilsynets it-tilsyn
|
1
4
| Introduktion og konklusion
1.2. Baggrund
Finanstilsynet
5. Ifølge finansloven er det Finanstilsynets opgave at medvirke til finansiel stabilitet og
til, at borgere og virksomheder har tillid til den finansielle sektor. Det indebærer, at Fi-
nanstilsynet skal:
Tilsynet med finansielle
virksomheder
Foruden tilsynet med virksom-
hedernes it-sikkerhed omfat-
ter tilsynet også:
tilsyn med virksomhedernes
tilsyn med udlån
tilsyn med håndtering af
udarbejde regler på det finansielle område
belyse udviklingen i den finansielle sektor gennem statistik og løbende information
føre tilsyn med de finansielle virksomheder og markeder.
likviditet
Denne undersøgelse handler om Finanstilsynets tilsyn med finansielle virksomheder,
nærmere bestemt deres tilsyn med virksomhedernes it-sikkerhed.
6. Finanstilsynet er fuldt finansieret af afgifter fra de virksomheder, der er underlagt
tilsynet. I 2023 udgjorde udgifterne til Finanstilsynet 465,5 mio. kr., og der var ultimo
2023 i alt 423 ansatte, hvoraf 12 førte tilsyn med de systemisk vigtige virksomheders
it-sikkerhed. It-tilsynet med de øvrige virksomheder er en del af Finanstilsynets gene-
relle tilsyn, og de kan derfor ikke opgøre, præcis hvor mange ansatte der fører it-tilsyn
med disse virksomheder.
Finansielle virksomheder
7. Der er i alt ca. 325 finansielle virksomheder, som er underlagt Finanstilsynets it-til-
syn. Denne undersøgelse omfatter it-tilsynet med 112 virksomheder, der fordeler sig
på 8 typer virksomheder. Virksomhederne er udvalgt, så undersøgelsen bl.a. omfatter
alle de systemisk vigtige virksomheder.
hvidvaskrisici.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0012.png
Introduktion og konklusion |
5
Tabel 1 viser de typer af finansielle virksomheder, der indgår i undersøgelsen.
Tabel 1
Typer af finansielle virksomheder, der indgår i undersøgelsen
Pengeinstitutter (banker)
Omfatter både store banker, fx Danske Bank, og
mindre lokale sparekasser, fx Sparekassen for
Nørre Nebel og Omegn.
Fælles datacentraler
Leverer it-løsninger til banker og realkreditinstitut-
ter. Eksempler er JN Data og Gensam Data.
Realkreditinstitutter og andre kreditinstitutter
Udlåner til køb af ejendomme. Omfatter fx Nykre-
dit.
Markedspladser
Regulerede markeder og multilaterale handelsfa-
ciliteter, hvor der kan handles med værdipapirer.
Omfatter kun Nasdaq, der driver de 2 danske mar-
kedspladser.
Værdipapircentraler
Værdipapircentralens system anvendes af delta-
gerne (primært banker) til udstedelse, opbevaring
og afvikling af handler med værdipapirer. Omfatter
kun VP Securities.
It-operatører af detailbetalingsselskaber
Driver de systemer, som afvikler betalinger mellem
fysiske personer, virksomheder og offentlige myn-
digheder. I Danmark er der kun Mastercard.
KR .
E-penge- og betalingsinstitutter
Virksomheder, der formidler elektroniske betalin-
ger mellem 2 parter. Omfatter fx Nets og Forbrugs-
foreningen.
Investeringsforvaltningsselskaber
Forvalter og administrerer danske investerings-
foreninger. Et eksempel er Formuepleje.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Finanstilsynet.
Virksomhederne varierer, både hvad angår størrelse og kompleksitet og i deres anven-
delse af it-systemer.
Kravene til finansielle virksomheders it-sikkerhed
8. Det fremgår af lov om finansiel virksomhed (§ 71), lov om betalinger (§ 25) og lov om
kapitalmarkeder (§ 180), at virksomhederne skal have betryggende kontrol- og sik-
ringsforanstaltninger på it-området. Det er ikke nærmere specificeret, hvad det inde-
bærer, men det fremgår, at Finanstilsynet kan fastsætte nærmere regler på området.
Ledelsesbekendtgørelsen
Finanstilsynet har i en bekendtgørelse om ledelse og risikostyring af pengeinstitutter
m.fl. (ledelsesbekendtgørelsen) præciseret, hvordan pengeinstitutter, realkreditinsti-
tutter og andre kreditinstitutter, investeringsforvaltningsselskaber og fælles datacen-
traler skal sikre betryggende kontrol- og sikringsforanstaltninger. Kravene er, at virk-
somhederne skal arbejde og være organiseret på en måde, der gør dem i stand til at
opdage mangler i it-sikkerheden og iværksætte tiltag, der mindsker risikoen for brud
på it-sikkerheden. Det skal de fx gøre ved at udarbejde it-strategier og forretnings-
gange, opbygge interne, uafhængige kontroller med it-sikkerheden og udarbejde pla-
ner for at genoprette systemerne, hvis der sker nedbrud.
Kravet om effektiv ledelse og
risikostyring har været gæl-
dende siden 2010, men be-
stemmelserne i bekendtgørel-
sen er blevet udbygget og
gjort mere detaljerede i løbet
af undersøgelsesperioden. I
den gældende bekendtgørel-
se er der flere end 100 be-
stemmelser, men det fremgår,
at de skal overholdes på en
måde, der står i rimeligt for-
hold til virksomhedens stør-
relse og til, om virksomheden
har outsourcet it-systemerne
til en fælles datacentral.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
6
| Introduktion og konklusion
Outsourcing af it-områ-
det til en datacentral
De fleste banker, der ikke er
systemisk vigtige, har outsour-
cet driften og udviklingen af
deres it-systemer til en data-
central. I investeringsforvalt-
ningsselskaberne samt de e-
penge- og betalingsinstitutter,
der ikke er systemisk vigtige,
varetages it-driften af virksom-
hederne selv.
For de andre typer af finansielle virksomheder, som indgår i undersøgelsen, har Fi-
nanstilsynet ikke udstedt bekendtgørelser, der præciserer, hvordan virksomhederne
skal sikre betryggende kontrol- og sikringsforanstaltninger. For værdipapircentraler
reguleres kravene til it-sikkerhed af en EU-forordning om værdipapircentraler.
Finanstilsynet har desuden udstedt en bekendtgørelse, som pålægger fælles datacen-
traler og it-operatører af detailbetalingssystemer at udpege en ekstern revisor som
en ekstra kontrolforanstaltning på it-området. Den eksterne revisor skal hvert år er-
klære sig om, hvorvidt virksomhedens it-sikkerhed er betryggende. Derudover skal
virksomheder, der outsourcer til datacentraler, kontrollere, at datacentralernes ar-
bejde er tilfredsstillende, og fx også have it-beredskabsplaner i tilfælde af nedbrud
hos datacentralerne.
9. Lovkravene til de finansielle virksomheders it-sikkerhed forventes ændret i løbet
af 2024 og 2025 som følge af implementeringen af EU’s DORA-forordning
og NIS2-
direktiv. Finanstilsynet har oplyst, at de i løbet af 2024 vil fastlægge, hvilken betyd-
ning det skal have for deres it-tilsyn.
DORA-forordningen og
NIS2-direktiv
DORA-forordningen skærper
kravene til finansielle virksom-
heder i forbindelse med cyber-
angreb og stiller bl.a. krav om
langt hurtigere genopretning
efter eventuelle cyberangreb.
NIS2-direktivet øger bl.a. kra-
vene til virksomhedernes risi-
kostyring og indberetning af
it-hændelser.
1.3. Vurderingskriterier, metode og afgrænsning
Vurderingskriterier
10. Vi forudsætter, at tilsynet skal være baseret på væsentlighed og risiko. Dette føl-
ger af lov om finansiel virksomhed, § 344, som de fleste virksomheder i undersøgel-
sen er underlagt. For de virksomheder, der ikke er underlagt lov om finansiel virksom-
hed, fremgår det af Finanstilsynets retningslinjer og politik for it-tilsynet, at Finanstil-
synet også for disse virksomheder tilstræber, at tilsynet skal baseres på væsentlig-
hed og risiko. Lovgivningen indeholder ingen bestemmelser om omfanget af tilsynet,
og det er dermed op til Finanstilsynet selv at fastlægge, hvor ofte og hvordan, de skal
føre tilsyn med virksomhederne, herunder hvor hyppigt de skal inspicere virksomhe-
dernes it-sikkerhed.
Den europæiske
banktilsynsmyndighed
Den europæiske banktilsyns-
myndighed er et EU-agentur,
hvis formål er at skabe en fæl-
les ramme for regulering og
tilsyn i hele EU’s banksektor.
I forhold til Finanstilsynets tilrettelæggelse af it-tilsynet (afsnit 2.1) bør Finanstilsynet
som forudsat i loven tilrettelægge it-tilsynet på en måde, der understøtter, at der fø-
res mest tilsyn med de systemisk vigtige virksomheder. Derudover lægger vi til grund,
at Finanstilsynet skal vurdere alle virksomheders it-risici, hvilket også anbefales af den
europæiske banktilsynsmyndighed. Til sidst lægger vi til grund, at Finanstilsynet bør
sikre, at de udvælger de systemisk vigtige virksomheder til inspektion, hvor de har vur-
deret, at der er størst risiko for utilstrækkelig it-sikkerhed.
I forhold til Finanstilsynets gennemførelse af it-tilsynet (afsnit 2.2) forudsætter vi, at
de overholder deres egne retningslinjer for, hvor ofte de som minimum skal inspicere
it-sikkerheden i systemisk vigtige virksomheder. Det gør vi, fordi Finanstilsynet selv
har bemyndigelse til at tilrettelægge tilsynet og fastlægge inspektionsfrekvensen. Da
de ikke har fastlagt nogen minimumsfrekvens for de øvrige virksomheder, har vi ikke
noget grundlag for at vurdere, om tilsynsfrekvensen er tilstrækkelig.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Introduktion og konklusion |
7
I forhold til virkningen af tilsynet (afsnit 2.3) forudsætter vi, at Finanstilsynet skal un-
derstøtte, at deres tilsyn får størst mulig virkning. Dels ved i overensstemmelse med
deres retningslinjer at sætte frister for, hvornår virksomhederne skal rette op på de
mangler i it-sikkerheden, Finanstilsynet har fundet under inspektionerne. Dels ved at
overvåge, om virksomhederne retter op. Vi undersøger i den forbindelse også, om Fi-
nanstilsynet anvender deres hjemmel til at give bøder til virksomheder, der overtræ-
der reglerne for it-sikkerhed, eller som efterfølgende ikke efterlever de udstedte på-
bud.
Metode
11. Undersøgelsen er baseret på gennemgang af lovgrundlaget, internationale retnings-
linjer samt Finanstilsynets politikker, strategier og retningslinjer. Desuden er den ba-
seret på gennemgang af Finanstilsynets risikovurderinger og inspektionsrapporter
samt på materiale vedrørende Finanstilsynets opfølgning på virksomhedernes efter-
levelse af påbud. For at understøtte analysen har vi holdt møder med Finanstilsynet.
12. Statsrevisorernes spørgsmål og angivelse af, i hvilke afsnit spørgsmålene bliver be-
svaret, fremgår af bilag 1. Undersøgelsens metode uddybes i bilag 2, og bilag 3 viser,
hvilke finansielle virksomheder der indgår i undersøgelsen.
13. Revisionen er udført i overensstemmelse med standarderne for offentlig revision,
jf. bilag 2.
Afgrænsning
14. Undersøgelsen omfatter perioden 2017-2023. Vi har ikke undersøgt, om virksom-
hederne efterlever lovkravene til it-sikkerhed, da Rigsrevisionen ikke har revisions-
adgang til private virksomheder. Vi belyser i stedet, hvordan Finanstilsynet arbejder
for at sikre, at virksomhederne har betryggende kontrol- og sikringsforanstaltninger
på it-området.
Undersøgelsen omfatter Finanstilsynets it-tilsyn med 112 finansielle virksomheder. Virk-
somhederne repræsenterer 8 ud af 14 typer af finansielle virksomheder og udgør ca.
en tredjedel af de finansielle virksomheder, som er underlagt it-tilsynet. Baggrunden
for udvælgelse af virksomhederne er nærmere begrundet i bilag 2.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
8
| Finanstilsynets it-tilsyn
2. Finanstilsynets it-tilsyn
Dette kapitel handler om Finanstilsynets it-tilsyn. Vi har undersøgt:
Finanstilsynets tilrettelæggelse af it-tilsynet (2.1)
Finanstilsynets gennemførelse af it-tilsynet (2.2)
Virkningen af Finanstilsynets it-tilsyn (2.3)
Finanstilsynets it-tilsyn med udenlandske bankers danske filialer (2.4).
2.1. Tilrettelæggelse af it-tilsynet
15. Vi har undersøgt, om Finanstilsynet har tilrettelagt it-tilsynet ud fra vurderinger af
virksomhedernes væsentlighed og risici.
16. Undersøgelsen viser, at it-tilsynet er tilrettelagt på baggrund af virksomhedernes
væsentlighed, men i mindre grad ud fra vurderinger af virksomhedernes risici. Vi vur-
derer derfor, at tilrettelæggelsen af tilsynet ikke er helt tilfredsstillende.
Virksomhedernes væsentlighed
17. Vi har undersøgt, om Finanstilsynet løbende har vurderet virksomhedernes væsent-
lighed og tilrettelagt tilsynsaktiviteten derefter.
18. Undersøgelsen viser, at Finanstilsynet siden 2019 løbende har vurderet alle virksom-
hedernes væsentlighed ud fra en vurdering af, om brud på it-sikkerheden vil kunne på-
virke den finansielle stabilitet. Finanstilsynet har desuden opdelt virksomhederne i 4
grupper efter, hvor store konsekvenser der vil være ved eventuelle it-nedbrud i virk-
somhederne. Alle de systemisk vigtige virksomheder udgør gruppe 1, mens de reste-
rende virksomheder er fordelt på gruppe 2-4 efter væsentlighed. For overskuelighe-
dens skyld sondrer vi kun mellem systemisk vigtige virksomheder og øvrige virksom-
heder i beretningen.
Gruppe 1 omfatter 18 virksomheder, herunder de 9 banker og realkreditinstitutter,
der alene på grund af deres økonomiske størrelse er udpeget som systemisk vigtige,
jf. lov om finansiel virksomhed, og som Finanstilsynet derfor ifølge loven skal føre et
intensiveret tilsyn med. Derudover omfatter gruppen virksomheder, som Finanstilsy-
net vurderer som systemisk vigtige i forhold til it-sikkerhed, fordi de driver betalings-
systemer, infrastruktur for værdipapirmarkedet eller står for drift og udvikling af it-sy-
stemer til banker og realkreditinstitutter Det gælder fx visse datacentraler, der driver
kritiske systemer og opbevarer data for næsten alle banker i Danmark, samt en ræk-
ke virksomheder, der driver kritisk finansiel infrastruktur.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0016.png
Finanstilsynets it-tilsyn |
9
De øvrige virksomheder, som indgår i undersøgelsen, tæller i alt 94 virksomheder,
som Finanstilsynet ikke vurderer er væsentlige i forhold til at sikre finansiel stabilitet.
Det skyldes, enten at virksomhederne er forholdsvis små i økonomisk forstand, eller
at de har outsourcet deres it-systemer til en af de systemisk vigtige fælles datacen-
traler, som Finanstilsynet også fører it-tilsyn med. Dette gælder for de fleste banker
på nær de allerstørste.
Figur 1 viser, hvilke typer virksomheder der indgår i gruppen af systemisk vigtige virk-
somheder, og hvilke typer øvrige virksomheder der indgår i undersøgelsen.
Figur 1
Virksomhedstyper blandt de systemisk vigtige og de øvrige virksomheder
SYSTEMISK VIGTIGE VIRKSOMHEDER
Systemisk vigtige på grund af deres økonomiske størrelse
ØVRIGE VIRKSOMHEDER
KR .
KR .
Små og mellemstore banker
og realkreditinstitutter
Banker og realkreditinstitutter, der på grund af deres økonomiske
størrelse er udpeget som SIFI, jf. lov om finansiel virksomhed
Fælles datacentraler
Systemisk vigtige, fordi Finanstilsynet vurderer, at deres servicer
og tjenesteydelser påvirker hele det finansielle system
E-penge- og betalingsinstitutter
Fælles datacentraler og andre virksomheder, der driver
den finansielle infrastruktur
Investeringsforvaltningsselskaber
Note: Bilag 3 viser, hvilke virksomheder der indgår i undersøgelsen.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Finanstilsynet.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
10
| Finanstilsynets it-tilsyn
Udvælgelsen af inspek-
tioner i de øvrige virk-
somheder
Ifølge Finanstilsynets retnings-
linjer skal de først udarbejde
en samlet risikovurdering af
virksomheden, som de anven-
der til at udvælge, hvilke virk-
somheder der skal inspiceres.
Når Finanstilsynet har valgt de
virksomheder, hvor der sam-
let er størst risici, skal de der-
efter vælge, hvilke områder, fx
it-sikkerhed, der skal under-
søges i inspektionen. Om it-
sikkerheden bliver inspiceret,
afhænger altså først af virk-
somhedens samlede risiko i
forhold til de andre virksom-
heders. Dernæst afhænger
det af, om risikoen på it-områ-
det er høj, hvis der sammen-
lignes med risikoen på virk-
somhedens øvrige områder.
19. Undersøgelsen viser endvidere, at Finanstilsynet siden 2019 har tilrettelagt tilsyns-
aktiviteten efter, hvilken gruppe virksomhederne er placeret i, så Finanstilsynet fører
mere it-tilsyn med de systemisk vigtige virksomheder end med de øvrige virksomhe-
der.
For de systemisk vigtige virksomheder har Finanstilsynet valgt, at der skal gennemfø-
res inspektioner, som kun vedrører it-området (it-inspektioner). Finanstilsynet har der-
udover fastlagt en minimumsfrekvens for, hvor ofte de skal gennemføre it-inspektio-
ner. For de øvrige virksomheder har Finanstilsynet ikke fastsat en minimumsfrekvens,
men i stedet tilrettelagt en udvælgelsesproces, hvor de kun skal inspicere it-området
i visse tilfælde.
Det fremgår ikke af Finanstilsynets retningslinjer, hvordan inspektionerne af it-sikker-
heden i de systemisk vigtige virksomheder adskiller sig metodemæssigt og indholds-
mæssigt fra inspektionerne af it-sikkerheden i de øvrige virksomheder. Vores gennem-
gang af inspektionsrapporter viser dog, at både krav og behandlingsdybde er større
ved en inspektion i en systemisk vigtig virksomhed, hvilket medfører, at inspektionen
bliver mere omfattende og tager længere tid at gennemføre.
Virksomhedernes risici
20. Vi har undersøgt, om Finanstilsynet har tilrettelagt it-tilsynet ud fra vurderinger af
virksomhedernes risici på it-området.
Risici
Finanstilsynet skal føre tilsyn
med, at virksomhederne over-
holder lovkravene vedrørende
it-sikkerhed. Derfor forstås ri-
sici i denne sammenhæng som
risikoen for, at virksomheder-
ne ikke har tilstrækkelig it-sik-
kerhed, fordi de ikke efterlever
de krav til it-sikkerhed, som
Finanstilsynet har fastsat i de
relevante bekendtgørelser.
Det følger af lov om finansiel virksomhed og af Finanstilsynets retningslinjer, at Finans-
tilsynets tilsyn skal stå mål med de potentielle risici. Derudover anbefaler den euro-
pæiske banktilsynsmyndighed, at Finanstilsynet løbende vurderer de risici, den en-
kelte virksomhed kan blive eksponeret for med henblik på at tilpasse tilsynsaktivite-
ten.
Vi lægger til grund, at Finanstilsynet skal risikovurdere it-sikkerheden i alle virksom-
heder. For de systemisk vigtige virksomheder, hvor risici ved mangelfuld it-sikkerhed
ifølge Finanstilsynet altid er væsentlige, bør de udarbejde særskilte it-risikovurderin-
ger. For de øvrige virksomheder behøver der ikke blive udarbejdet særskilte risikovur-
deringer af it-området, idet vurderingerne også kan ske som led i en samlet risikovur-
dering af virksomheden.
21. Undersøgelsen viser, at Finanstilsynet kun delvist har tilrettelagt tilsynet på bag-
grund af vurderinger af virksomhedernes risici på it-området.
De systemisk vigtige virksomheder
22. Undersøgelsen viser, at Finanstilsynet siden 2019 har udarbejdet it-risikovurderin-
ger for de systemisk vigtige virksomheder. Det har de gjort på baggrund af virksom-
hedernes egne risikovurderinger, halvårlige it-statusmøder med systemiske virksom-
heder, revisionsprotokollater og -erklæringer, indberetning af it-hændelser og på bag-
grund af viden fra tidligere inspektioner samt eventuel igangværende opfølgning på
påbud i virksomheden.
Undersøgelsen viser også, at Finanstilsynet ikke alene har udvalgt virksomheder til it-
inspektion på baggrund af risikovurderingerne. Boks 1 viser nogle af de kriterier, Finans-
tilsynet bruger til at udvælge virksomhederne.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0018.png
Finanstilsynets it-tilsyn |
11
Boks 1
Kriterier for Finanstilsynets udvælgelse af systemisk vigtige
virksomheder til it-inspektion
1. Finanstilsynets vurdering af virksomhedens risiko på it-området.
2. Overholdelse af den fastlagte minimumsfrekvens for it-inspektioner.
3. Om virksomheden for nyligt er udpeget som systemisk vigtig, eller der tidligere er
gennemført it-inspektioner.
4. Om virksomheden har åbne påbud. Hvis virksomheden stadig har åbne påbud fra
sidste it-inspektion, vil Finanstilsynet i udgangspunktet ikke prioritere at udtage virk-
somheden til en ny it-inspektion.
Kilde:
Finanstilsynets retningslinjer for planlægning af inspektioner.
Det fremgår af Finanstilsynets retningslinjer, at der skal være en minimumsfrekvens
for it-inspektioner i systemisk vigtige virksomheder, og at den skal fastlægges ud fra
virksomhedernes risiko. Dette skal ifølge retningslinjerne sikre, at der oftere gennem-
føres inspektioner i de virksomheder, hvor Finanstilsynet vurderer, at risikoen for at
overtræde reglerne er højere sammenlignet med andre virksomheder af samme stør-
relse eller væsentlighed.
Undersøgelsen viser dog, at Finanstilsynet ikke tilpasser minimumsfrekvensen for it-
inspektioner ud fra vurderinger af virksomhedernes risiko på it-området. Finanstilsy-
net har i stedet fastlagt en fast minimumsfrekvens på 4 år for it-inspektioner i syste-
misk vigtige virksomheder, uanset om virksomhedernes risiko på it-området er høj el-
ler lav. Dette adskiller sig fra andre områder af Finanstilsynets tilsynsvirksomhed, fx
tilsynet med virksomhedernes kapitalsituation og solvensbehov. Her fremgår det af
retningslinjerne, at Finanstilsynet skal bruge risikovurderinger til at fastlægge mini-
mumsfrekvenser på 1 og 2 år for inspektioner, hvis virksomhederne har en risiko, som
er over middel eller høj.
Rigsrevisionen vurderer, at det ikke er tilfredsstillende, at Finanstilsynet ikke tilpasser
minimumsfrekvensen for it-inspektioner i systemisk vigtige virksomheder til de enkel-
te virksomheders risici på it-området.
De øvrige virksomheder
23. Undersøgelsen viser, at Finanstilsynet siden 2020 har foretaget systematiske vur-
deringer af it-sikkerheden i ca. halvdelen af de øvrige virksomheder, nemlig bankerne.
Finanstilsynet har således for alle banker udarbejdet risikovurderinger forud for ud-
vælgelsen af inspektioner. I risikovurderingen indgår virksomhedernes risiko for man-
gelfuld it-sikkerhed som en obligatorisk og selvstændig del af vurderingen.
I forhold til investeringsforvaltningsselskaberne samt de-penge- og betalingsinstitut-
ter og datacentraler, der ikke er systemisk vigtige, har Finanstilsynet derimod ikke på
systematisk vis vurderet it-sikkerheden, inden de har udvalgt virksomheder til inspek-
tion. Det svarer til ca. halvdelen af de øvrige virksomheder, der indgår i undersøgelsen.
Finanstilsynet har oplyst, at deres vurdering af e-penge- og betalingsinstitutters it-sik-
kerhed indgår i den samlede risikovurdering af virksomhederne.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
12
| Finanstilsynets it-tilsyn
Undersøgelsen viser dog, at virksomhedernes it-sikkerhed kun i meget begrænset om-
fang og kun for enkelte virksomheder er omtalt i risikovurderingerne. Vi vurderer der-
for, at Finanstilsynet ikke har tilrettelagt inspektionerne ud fra en systematisk vurde-
ring af virksomhedernes risiko for mangelfuld it-sikkerhed.
2.2. Gennemførelse af it-tilsynet
24. Vi har undersøgt, om Finanstilsynets gennemførelse af it-tilsyn er tilfredsstillende.
For at vurdere dette har vi fokuseret på inspektionerne i virksomhederne.
Undersøgelsen viser, at Finanstilsynets gennemførelse af it-inspektioner i finansielle
virksomheder ikke er tilfredsstillende. Det skyldes for det første, at Finanstilsynet ik-
ke har overholdt deres egen minimumsfrekvens for it-inspektioner for en tredjedel af
de systemisk vigtige virksomheder, og for det andet, at der er risikofyldte områder,
som Finanstilsynet ikke har gennemført inspektioner af i flere år. For det tredje, at Fi-
nanstilsynet stort set ikke har inspiceret it-sikkerheden i investeringsforvaltningssel-
skaberne samt de e-penge- og betalingsinstitutter, der ikke er systemisk vigtige.
It-inspektioner i systemisk vigtige virksomheder
25. Vi har undersøgt, hvor mange it-inspektioner Finanstilsynet har gennemført, og
om de har overholdt minimumsfrekvensen for it-inspektioner. Vi har i den forbindelse
også undersøgt, hvor lang tid der er gået mellem it-inspektionerne i virksomhederne.
Endelig har vi undersøgt, om Finanstilsynet sikrer, at deres it-inspektioner dækker al-
le risikofyldte it-sikkerhedsområder i virksomhederne.
Cyberstresstest
Stresstest af cyberrobusthed
og it-beredskab simulerer et
it-nedbrud for at undersøge,
hvor hurtigt virksomheden
kan genoprette it-systemerne,
og hvilke konsekvenser ned-
bruddet har for forretnings-
processer og virksomhedens
kunder.
Foruden it-inspektionerne har Finanstilsynet fra og med 2023 suppleret inspektioner-
ne med stresstests af virksomhedernes cyberrobusthed og it-beredskab. Finanstilsy-
net har udført tests i 7 virksomheder og forventer, at testresultaterne offentliggøres
medio 2024. Finanstilsynets cyberstresstests indgår ikke i opgørelsen af minimums-
frekvensen og tidsintervallet mellem it-inspektionerne og heller ikke i opgørelsen af
inspektionernes dækning af it-områder.
Overholdelse af minimumsfrekvensen for it-inspektioner
26. Undersøgelsen viser, at Finanstilsynet har gennemført 20 it-inspektioner i de sy-
stemisk vigtige virksomheder i perioden 2017-2023.
I perioden 2017-2023 har i alt 19 virksomheder på et tidspunkt været kategoriseret
som systemisk vigtige. Én af virksomhederne er i løbet af perioden blevet opkøbt og
er ikke længere systemisk vigtig. 13 af virksomhederne har været kategoriseret som
systemisk vigtige i hele perioden, mens 5 af dem er blevet udpeget i løbet af perioden.
Pr. 31. december 2023 var der 18 systemisk vigtige virksomheder.
27. Finanstilsynet har i deres retningslinjer fastsat en minimumsfrekvens for, hvor of-
te de skal gennemføre it-inspektioner i systemisk vigtige virksomheder. Ifølge retnings-
linjerne må der højst gå 4 år, uanset om virksomhederne har høj eller lav risiko på it-
området.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0020.png
Finanstilsynets it-tilsyn |
13
Det fremgår ikke af Finanstilsynets retningslinjer, hvordan intervallet mellem inspek-
tionerne skal opgøres. Vi har derfor brugt den metode, som Finanstilsynet har oplyst,
at de selv anvender.
Figur 2 viser, i hvilket omfang Finanstilsynet har overholdt minimumsfrekvensen i pe-
rioden 2017-2023 for de virksomheder, der var systemisk vigtige pr. 31. december
2023.
Figur 2
Finanstilsynets overholdelse af minimumsfrekvensen for it-inspek-
tioner
1
6
Virksomheder, hvor Finanstilsynet har overholdt
minimumsfrekvensen
Virksomheder, hvor Finanstilsynet har overtrådt
minimumsfrekvensen
11
Kan ikke vurderes
Note: Perioden er regnet fra tidspunktet, hvor virksomheden modtager den afsluttende rapport fra den første
inspektion, til Finanstilsynet sender virksomheden et indkaldelsesbrev til næste inspektion. Én virksom-
hed kan ikke vurderes, da den er udpeget som systemisk vigtig i 2023 og endnu ikke er inspiceret.
Kilde:
Rigsrevisionens på baggrund af Finanstilsynets opgørelse af overholdelsen af minimumsfrekvensen.
Det fremgår af figur 2, at Finanstilsynet har overholdt minimumsfrekvensen for it-in-
spektioner i 11 ud af de 18 systemisk vigtige virksomheder, men har overtrådt den i 6
virksomheder. 2 ud af de 6 virksomheder er fælles datacentraler, der varetager drif-
ten og udviklingen af it-systemer for mange små og mellemstore banker og derudover
også leverer it-ydelser til hovedparten af de systemisk vigtige banker. Det betyder, at
eventuelle mangler i it-sikkerheden i datacentralerne kan få betydning for mange virk-
somheder.
28. Figur 3 viser, hvilke trin der er i Finanstilsynets inspektioner, og hvordan Finanstil-
synet har opgjort, om de har overholdt deres minimumsfrekvens for en inspektion i en
systemisk vigtig virksomhed.
I opgørelsen over overholdelsen af minimumsfrekvensen har Finanstilsynet beregnet
tidsrummet, fra virksomhederne modtager den afsluttende rapport fra Finanstilsynets
første inspektion (trin 2), til tidspunktet, hvor Finanstilsynet sender virksomheden et
indkaldelsesbrev til den næste inspektion (trin 3).
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0021.png
14
| Finanstilsynets it-tilsyn
Figur 3
Trin i inspektionsprocessen og Finanstilsynets opgørelse af overholdelsen af minimums -
frekvensen
TRIN 1
TRIN 2
TRIN 3
TRIN 4
Finanstilsynet
inspicerer
virksomheden
Finanstilsynet afslutter inspektionen
med en rapport til virksomheden
(her gives eventuelle påbud)
Finanstilsynet
indkalder til en ny
inspektion
Finanstilsynet
inspicerer
virksomheden på ny
Finanstilsynet bruger dette tidsrum til at opgøre,
om minimumsfrekvensen overholdes
Kilde:
Rigsrevisionen på baggrund af Finanstilsynets oplysninger om deres opgørelsesmetode.
Som det fremgår af figur 3 tager Finanstilsynets opgørelse af minimumsfrekvensen
ikke højde for, hvor lang tid der går, fra Finanstilsynet inspicerer den enkelte virksom-
hed og dermed afdækker eventuelle mangler i virksomhedens it-sikkerhed, til inspek-
tionen afsluttes med en rapport. Vores gennemgang af Finanstilsynets inspektions-
rapporter viser, at der er betydelig forskel på, hvor lang tid der er gået, fra inspektio-
nerne bliver udført i virksomhederne, til virksomhederne har modtaget den afslutten-
de rapport. For 5 inspektioner er den afsluttende rapport sendt mere end ét år efter,
at inspektionen blev udført i virksomhederne. Derudover er der også forskel på, hvor
lang tid der er gået, fra Finanstilsynet sender indkaldelsesbrevene, til de inspicerer
virksomhederne. I 5 tilfælde er der gået mere end 6 måneder.
Vi har derfor også opgjort, hvor lang tid der er gået mellem, at Finanstilsynet har væ-
ret til stede i virksomhederne og udført inspektioner (dvs. tidsrummet mellem trin 1 og
trin 4 i figur 3).
Tabel 2 viser tidsintervallet mellem it-inspektionerne.
Tabel 2
Tidsintervallet mellem it-inspektionerne
Interval mellem inspektioner
Mindre end 4 år mellem inspektioner
4-5 år mellem inspektioner
5-6 år mellem inspektioner
6-7 år mellem inspektioner
7 år eller derover mellem inspektioner
Antal virksomheder
6
5
3
0
3
Note: Perioden er regnet fra tidspunktet for gennemførelsen af den forrige it-inspektion til tidspunktet for gen-
nemførelsen af den næste inspektion. En af de 18 systemisk vigtige virksomheder indgår ikke i tabellen,
fordi den endnu ikke er inspiceret, da den først er udpeget som systemisk vigtig i 2023.
Kilde:
Rigsrevisionens beregninger på baggrund af Finanstilsynets inspektionsrapporter.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0022.png
Finanstilsynets it-tilsyn |
15
Tabel 2 viser, at der ved udgangen af 2023 i 11 virksomheder er gået mere end 4 år mel-
lem, at inspektionerne er udført. Det gælder også for virksomheder, hvor Finanstilsy-
net i løbet af undersøgelsesperioden har vurderet, at risikoen på it-området var over
middel eller høj. Desuden viser tabellen, at der for 3 virksomheder er gået over 7 år mel-
lem inspektionerne. Samlet set er der i gennemsnit gået 4�½ år mellem inspektionerne.
29. Rigsrevisionen finder det ikke tilfredsstillende, at der i gennemsnit er gået 4�½ år,
og at der for nogle af virksomhederne er gået over 7 år mellem inspektionerne.
Inspektionernes dækning af it-områder
30. Finanstilsynet har inddelt virksomhedernes it-sikkerhed i 7 forskellige it-områder,
jf. boks 2.
Boks 2
IT-områder
Risiko- og sikkerhedsstyring:
Om virksomhedens strategier, processer og organisering sikrer, at sårbarheder i it-sikkerhe-
den kan opdages og udbedres.
It-beredskab:
Om virksomheden har opdateret sine it-beredskabsplaner og tester dem.
Outsourcing:
Om virksomheden kontrollerer, at leverandører efterlever virksomhedens it-sikkerhedskrav.
It-revision:
Om virksomhedens styring og systemer på it-sikkerhedsområdet revideres af en uafhængig revisor.
Driftsstyring:
Virksomhedens arbejde med at styre driften og beskyttelsen af bl.a. systemer, netværk, data og enheder.
Adgangsstyring og fysisk sikkerhed:
Om virksomheden sikrer systemer mod misbrug af adgangsrettigheder, sikrer den
fysiske adgang og sikrer elforsyningen til følsomme områder som serverrum mv.
Anskaffelse, udvikling og vedligehold:
Om virksomheden fx i tilstrækkelig grad styrer it-projekter og anskaffelsen af nye
it-systemer.
Kilde:
Finanstilsynets retningslinjer.
I perioden 2017-2020 dækkede Finanstilsynets inspektioner de fleste it-områder i de
enkelte virksomheder. Siden 2021 har Finanstilsynet gennemført smallere inspektio-
ner for til gengæld at kunne inspicere virksomhederne hyppigere og målrette inspek-
tionerne mod de områder, hvor Finanstilsynet har vurderet, at risikoen er størst.
For at understøtte udvælgelsen af it-sikkerhedsområder til inspektion udarbejdede
Finanstilsynet i perioden 2021-2022 en risikovurdering for hver af de systemisk vig-
tige virksomheder, der opgjorde virksomhedernes risici på de enkelte it-sikkerheds-
områder. Det fremgår af disse risikovurderinger, at Finanstilsynet vurderede, at de
mest risikofyldte it-sikkerhedsområder var
risiko- og sikkerhedsstyring, it-beredskab,
adgangsstyring og fysisk sikkerhed
samt
driftsstyring.
Finanstilsynet vurderede for
disse områder, at en del virksomheder havde høj risiko for mangler i it-sikkerheden.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
16
| Finanstilsynets it-tilsyn
31. Undersøgelsen viser, at Finanstilsynet ikke har dækket 2 af de 4 mest risikofyldte
it-områder i perioden 2021-2023. Finanstilsynet har siden 2021 gennemført 9 inspek-
tioner, som alle har dækket områderne
risiko- og sikkerhedsstyring, it-revision
og/el-
ler
it-beredskab,
men har ikke gennemført inspektioner af it-områderne
adgangssty-
ring og fysisk sikkerhed
og
driftsstyring,
selv om det er nogle af de mest risikofyldte
områder ifølge Finanstilsynets egne vurderinger.
Finanstilsynet har oplyst, at prioriteringen af områderne risiko- og sikkerhedsstyring
samt it-beredskab for det første skyldes, at nye virksomheder er blevet udpeget som
systemisk vigtige, og at Finanstilsynet i disse tilfælde derfor har valgt at inspicere den
overordnede styring af it-sikkerheden først. For det andet skyldes prioriteringen iføl-
ge Finanstilsynet, at de har fulgt op på en række ældre påbud vedrørende driftsstyring
samt adgangsstyring og fysisk sikkerhed, som de udstedte i forbindelse med de bre-
dere inspektioner før 2021.
Finanstilsynet har dog i slutningen af 2023 planlagt og igangsat flere smalle inspektio-
ner af de risikofyldte områder: adgangsstyring og fysisk sikkerhed eller driftsstyring.
32. Finanstilsynets smallere fokus i inspektionerne siden 2021 har medført en risiko
for, at inspektionerne ikke dækker alle risikofyldte it-områder i virksomhederne, og at
mangler i it-sikkerheden på nogle områder dermed først undersøges flere år efter, at
Finanstilsynet vurderer, at en virksomhed har forhøjet risiko på et område.
Inspektioner i øvrige virksomheder
33. Vi har undersøgt, hvor mange inspektioner af it-sikkerheden Finanstilsynet har
gennemført i de øvrige 94 finansielle virksomheder, og om de har inspiceret de virk-
somheder, hvor risikoen for mangler i it-sikkerheden var størst.
Det fremgår ikke af lovgivningen, hvor ofte Finanstilsynet skal inspicere it-området i
de øvrige virksomheder, og Finanstilsynet har heller ikke retningslinjer for det. Det føl-
ger dog af lovgivningen og af Finanstilsynets retningslinjer, at Finanstilsynet skal føre
et risikobaseret tilsyn, og af Finanstilsynets politik for it-tilsyn, at de dermed kan føre
mindre tilsyn med virksomheder, hvor konsekvenserne af it-nedbrud ikke er væsent-
lige.
34. Undersøgelsen viser, at Finanstilsynet i overensstemmelse med loven og deres po-
litik for it-tilsyn fører mindre tilsyn med de finansielle virksomheder, der ikke er syste-
misk vigtige. Det kommer for det første til udtryk ved, at de ikke gennemfører særskil-
te it-inspektioner i disse virksomheder, men i stedet samlede inspektioner af virksom-
hederne, hvor de undersøger forskellige udvalgte områder af virksomhedens drift. For
det andet ved, at Finanstilsynet kun har inspiceret it-sikkerheden i 41 % af de nuværen-
de øvrige virksomheder.
Undersøgelsen viser, at Finanstilsynet i perioden 2017-2023 har udvalgt it-sikkerhed
som ét af de områder, de skulle undersøge i forbindelse med i alt 79 inspektioner.
Figur 4 viser andelen af øvrige virksomheder, hvor Finanstilsynet har udvalgt it-sikker-
heden som ét af de inspicerede områder. Figuren viser også, om Finanstilsynet har ri-
sikovurderet it-sikkerheden i virksomhederne i perioden 2017-2023.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0024.png
Finanstilsynets it-tilsyn |
17
Figur 4
Inspektioner i øvrige virksomheder i perioden 2017-2023
Tilsynsaktivitet
Banker
E-penge- og
betalingsinstitutter
Investerings-
forvaltningsselskaber
Fælles datacentraler
KR .
Inspektioner
Finanstilsynet
har inspiceret
it-sikkerheden i 76 %
af virksomhederne.
Finanstilsynet
har ikke inspiceret
it-sikkerheden.
Finanstilsynet
har i stedet inspiceret
den overordnede
risikostyring i 24 %
af virksomhederne.
Finanstilsynet
har stort set ikke
risikovurderet
it-sikkerheden.
Finanstilsynet
har inspiceret
it-sikkerheden i 8 %
af virksomhederne.
Finanstilsynet
har inspiceret
it-sikkerheden i 50 %
af virksomhederne.
Risikovurderinger
Finanstilsynet
har siden 2020
risikovurderet
it-sikkerheden.
Finanstilsynet
har ikke risikovurderet
it-sikkerheden.
Finanstilsynet
har ikke risikovurderet
it-sikkerheden.
Kilde:
Rigsrevisionen på baggrund af Finanstilsynets inspektionsrapporter og risikovurderinger.
Det fremgår af figur 4, at Finanstilsynet primært har ført tilsyn med it-sikkerheden i
bankerne, hvor de har inspiceret it-sikkerheden i 76 % af virksomhederne. Det frem-
går også af figuren, at de næsten ikke har inspiceret it-sikkerheden i investeringsfor-
valtningsselskaberne samt de e-penge- og betalingsinstitutter, der ikke er systemisk
vigtige, selv om disse virksomheder tilsammen udgør næsten halvdelen af de øvrige
virksomheder. Endelig har Finanstilsynet inspiceret it-sikkerheden i 50
% af de
fælles
datacentraler.
Finanstilsynet har oplyst, at de gennemfører generelle inspektioner af e-penge- og be-
talingsinstitutters interne kontrolprocedurer og risikostyring. Selv om inspektionerne
ikke er målrettet it-området, dækker inspektionerne ifølge Finanstilsynet også virk-
somhedernes risici på it-området. Undersøgelsen viser, at Finanstilsynet i perioden
2017-2023 har gennemført generelle inspektioner af den overordnede risikostyring i
24 % af e-penge- og betalingsinstitutterne.
Eftersom Finanstilsynet enten slet ikke eller stort set ikke har risikovurderet it-sikker-
heden i de investeringsforvaltningsselskaber og e-penge- og betalingsinstitutter, som
er blandt de øvrige virksomheder, ved Finanstilsynet ikke, om der er potentielle risici
eller mangler i it-sikkerheden, som virksomhederne burde rette op på. I modsætning
til bankerne outsourcer investeringsforvaltningsselskaber samt e-penge- og betalings-
institutter ikke deres it-drift og udvikling til datacentralerne, og Finanstilsynets tilsyn
med de fælles datacentraler vil derfor heller ikke dække eventuelle mangler i it-sikker-
heden.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
18
| Finanstilsynets it-tilsyn
35. Da Finanstilsynet siden 2020 har risikovurderet it-sikkerheden i bankerne, har vi
undersøgt, om Finanstilsynet har inspiceret it-sikkerheden i de banker, der havde
størst risiko for at overtræde reglerne for it-sikkerhed.
Undersøgelsen viser, at Finanstilsynet generelt har vurderet bankernes risiko på it-om-
rådet som lav eller middel. Undersøgelsen viser også, at Finanstilsynet i lidt højere
grad har inspiceret it-sikkerheden i de banker, hvor risikoen for brud på it-sikkerhe-
den var middel, hvis der sammenlignes med de banker, hvor Finanstilsynet vurdere-
de risikoen til at være lav.
2.3. It-tilsynets virkning
36. Vi har undersøgt, om Finanstilsynet har understøttet, at it-tilsynet får størst mulig
virkning. Vi har i den forbindelse undersøgt, hvor mange påbud de har udstedt til virk-
somhederne, om de har fulgt op på, om virksomhederne efterlever påbuddene, og om
de har anvendt de sanktioner, de har hjemmel til over for virksomheder, der ikke efter-
lever påbuddene.
Desuden har vi undersøgt, hvilke muligheder kunderne har for at blive orienteret om
Finanstilsynets påbud til pengeinstitutter, og om de oplysninger, der bliver offentlig-
gjort, giver kunderne mulighed for at orientere sig om it-sikkerhedsmæssige risici og
påbud i deres bank.
Undersøgelsen viser, at Finanstilsynet ikke i tilstrækkelig grad understøtter, at it-tilsy-
net får størst mulig virkning.
37. Finanstilsynet har hjemmel til at udstede påbud, hvis lovgivningen på det finansi-
elle område bliver overtrådt. Ifølge Finanstilsynets retningslinjer skal der anvendes på-
bud i forbindelse med en væsentlig lovovertrædelse, hvor der er behov for at pålæg-
ge en virksomhed en bestemt adfærd eller handling. Enten fordi virksomheden hand-
ler på en måde, der er i strid med loven, eller fordi virksomheden undlader at handle,
hvor handling er påkrævet efter lovgivningen.
Hvis virksomheden ikke efterlever påbuddene, har Finanstilsynet flere sanktionsmu-
ligheder. For det første kan de udstede administrative bødeforlæg. For det andet kan
de anmelde virksomheden til politiet, som derefter kan idømme virksomhederne en
bødestraf for brud på lovgivningen.
Omfanget af påbud
38. Vi har undersøgt, hvor mange påbud Finanstilsynet har givet pr. it-inspektion til
henholdsvis systemisk vigtige og øvrige virksomheder.
Tabel 3 viser antal inspektioner og antal påbud i perioden 2017-2023 for henholdsvis
systemisk vigtige virksomheder og øvrige virksomheder.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0026.png
Finanstilsynets it-tilsyn |
19
Tabel 3
Antal it-inspektioner og antal påbud i perioden 2017-2023
Virksomhed
Systemisk vigtige virksomheder
Øvrige virksomheder
Antal it-inspektioner
20
79
Antal påbud
76
53
Note: De 79 inspektioner i øvrige virksomheder dækker både inspektioner i nuværende virksomheder og
inspektioner i virksomheder, der ikke længere eksisterede ved udgangen af 2023.
Kilde:
Rigsrevisionen på baggrund af Finanstilsynets inspektionsrapporter.
Det fremgår af tabel 3, at Finanstilsynet i perioden 2017-2023 har givet i alt 76 påbud
i forbindelse med de 20 it-inspektioner i systemisk vigtige virksomheder. Derudover
har de givet 53 påbud vedrørende it-sikkerhed til de øvrige virksomheder fordelt på
79 inspektioner.
Boks 3 viser eksempler på påbud, som Finanstilsynet har givet til systemisk vigtige
virksomheder på de forskellige it-områder.
Boks 3
Eksempler på påbud givet til systemisk vigtige virksomheder
Risiko- og sikkerhedsstyring:
Virksomheden skal sikre klarhed om rapporteringslinjerne fra den complianceansvarlige og
til bestyrelsen.
It-beredskab:
Virksomheden skal udarbejde og implementere formaliserede krav og forretningsgange for, hvordan rele -
vante testscenarier identificeres, risikovurderes og testes.
Outsourcing:
Virksomheden skal kontrollere, om de outsourcede aktiviteter udføres tilfredsstillende, og om der bliver fore -
taget it-risikovurderinger af alle outsourcede aktiviteter.
Driftsstyring:
Virksomheden skal sikre, at adgange til data kun tildeles på baggrund af et arbejdsmæssigt behov.
Anskaffelse, udvikling og vedligehold:
Virksomheden skal implementere ledelsesgodkendte forretningsgange for æn-
dringsstyring, der som minimum efterlever sikkerhedsstandarderne på området, og begrænse adgangen til for trolige infor-
mationer til medarbejdere med et direkte arbejdsbetinget behov herfor.
Kilde:
Finanstilsynets offentliggjorte inspektionsredegørelser.
Finanstilsynet har både for systemisk vigtige virksomheder og for øvrige virksomheder
givet flest påbud inden for området risiko- og sikkerhedsstyring og næstflest inden for
området it-beredskab. Det skal ses i lyset af, at det også er de områder, som Finans-
tilsynet har udtaget til inspektion flest gange.
Undersøgelsen viser også, at Finanstilsynet har givet påbud på grund af mangler i it-sik-
kerheden i forbindelse med 80 % af inspektionerne i de systemisk vigtige virksomhe-
der og i forbindelse med 44 % af inspektionerne i de øvrige virksomheder. Tallene un-
derstøtter, at der er problemer med it-sikkerheden i finansielle virksomheder og behov
for at føre tilsyn med deres it-sikkerhed.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
20
| Finanstilsynets it-tilsyn
Finanstilsynets opfølgning
39. Vi har undersøgt, om Finanstilsynet har fulgt op på, om virksomhederne efterlever
påbuddene. Vi har i den forbindelse undersøgt, om Finanstilsynet har sat frister for,
hvornår virksomhederne senest skal have efterlevet påbuddene og have rettet op på
manglerne i it-sikkerheden. Vi har også undersøgt, om Finanstilsynet har overvåget,
om virksomhederne har overholdt fristerne, og om de har vurderet, at virksomheder-
ne har efterlevet påbuddene inden for fristen.
Når Finanstilsynet afslutter inspektionerne, skal de fastsætte frister for, hvornår virk-
somhederne skal have efterlevet påbuddene, og registrere fristerne i Finanstilsynets
registreringssystem. Dette fremgår af Finanstilsynets retningslinjer. Det fremgår des-
uden, at de kan forlænge fristen, hvis virksomhedernes anmodning om fristforlængel-
se er velbegrundet.
40. Undersøgelsen viser, at Finanstilsynet i samarbejde med virksomhederne har sat
frister for, hvornår den enkelte virksomhed skal have rettet op på manglerne i it-sikker-
heden og have efterlevet påbud. De frister, der er blevet fastsat i perioden 2017-2023,
varierer mellem 3 måneder og 4�½ år. Finanstilsynet har oplyst, at lange frister kan
skyldes, at virksomhederne skal igangsætte gennemgribende projekter og investerin-
ger, herunder fx:
etablere og implementere nye politikker, koncepter og procedurer
indkøbe og implementere nye systemer til risikostyring, kontroller og ledelsesrap-
portering, adgangsstyring, logning og overvågning af brugeraktivitet
opkvalificere it-kompetencer på flere niveauer i virksomheden.
Da det beror på en faglig vurdering, har vi ikke vurderet, om fristerne er rimelige i for-
hold til de enkelte påbud.
41. Undersøgelsen viser endvidere, at Finanstilsynet løbende har overvåget, om virk-
somhederne har overholdt fristerne. De har desuden indhentet dokumentation for
virksomhedernes tiltag, når fristerne udløb, og har haft dialog med virksomhederne
om eventuelle fortsatte mangler i it-sikkerheden. I de tilfælde, hvor Finanstilsynet har
vurderet, at virksomhedernes opfølgning på de enkelte påbud ikke var afsluttet eller
ikke var tilstrækkelig til at sikre it-sikkerheden, har de forlænget virksomhedernes frist.
42. Undersøgelsen viser også, at de systemisk vigtige virksomheder, der har fået på-
bud, sjældent har efterlevet påbuddet inden for fristen, selv om virksomhederne selv
har været med til at fastlægge fristerne. Således har de systemisk vigtige virksomhe-
der i gennemsnit overskredet fristen med ca. 2 år.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0028.png
Finanstilsynets it-tilsyn |
21
Anvendelse af sanktioner
43. Vi har undersøgt, om Finanstilsynet har anvendt sanktioner over for virksomheder,
der ikke har efterlevet lovkravene og/eller har overskredet fristerne for efterlevelse
af påbud.
Hvis virksomheden ikke efterlever påbuddene, har Finanstilsynet flere sanktionsmu-
ligheder. For det første kan de udstede administrative bødeforlæg. For det andet kan
de anmelde virksomheden til politiet, som derefter kan idømme virksomheden en bø-
destraf for brud på lovgivningen.
44. Undersøgelsen viser, at Finanstilsynet ikke har udstedt administrative bødeforlæg
til virksomheder, der overtræder reglerne for it-sikkerhed, eller som ikke efterlever Fi-
nanstilsynets påbud inden for fristen. Finanstilsynet har oplyst, at det skyldes, at bø-
desatserne ved administrative bødeforlæg er så små, at bøderne kun kan gives for
overtrædelser, der kan karakteriseres som bagatelagtige, hvilket Finanstilsynet ikke
vurderer er tilfældet, når det gælder påbud om forbedring af it-sikkerheden.
Undersøgelsen viser også, at Finanstilsynet heller ikke har anmeldt virksomheder, som
ikke efterlevede påbuddene til politiet, selv om det fremgår af deres sanktionspolitik,
at politianmeldelse bør overvejes ved manglende efterlevelse af påbud.
Finanstilsynet har oplyst, at det er deres generelle indtryk, at virksomhederne har gi-
vet påbuddene det rette fokus, og at Finanstilsynet derfor ikke har fundet, at der var
grundlag for at politianmelde virksomheder. I de tilfælde, hvor Finanstilsynet kunne væ-
re i tvivl om, hvorvidt virksomhederne prioriterede opfølgningen på påbuddene, har
de i stedet henledt virksomhedernes ledelse på problemerne.
Boks 4 viser et eksempel fra Finanstilsynets it-tilsyn med en systemisk vigtig virksom-
hed, hvor Finanstilsynet gentagne gange har konstateret brud på reglerne og over-
skridelse af fristerne, uden at det har ført til, at de har anvendt muligheden for at sank-
tionere virksomheden.
Bødeniveauet ved admi-
nistrative bødeforlæg
Bødeniveauet er fastlagt i be-
mærkningerne til lov om fi-
nansiel virksomhed fra 2010.
Her fremgår det, at en over-
trædelse af loven som ud-
gangspunkt vil udløse en bøde
på 25.000 kr. første gang,
som forhøjes med 50 % an-
den gang, 100 % tredje gang,
200 % fjerde gang osv. ved
senere gentagelsestilfælde.
Boks 4
Eksempel på manglende sanktion ved fristoverskridelse
Under en inspektion i en systemisk vigtig virksomhed afdækkede Finanstilsynet, at den
pågældende virksomhed havde mangelfuld styring af it-sikkerheden, og at virksomheden
ikke havde fulgt op på påbuddene fra den forrige it-inspektion. Finanstilsynet gav derfor
virksomheden en række påbud for mangelfuld styring af it-sikkerheden.
Pr. 31. december 2023 var hovedparten af virksomhedens påbud fortsat åbne og havde
på dette tidspunkt overskredet Finanstilsynets frister med omtrent 2 år. Finanstilsynet
har ikke anvendt deres mulighed for at sanktionere virksomheden.
Kilde:
Finanstilsynets inspektionsrapporter og overblik over opfølgningen på påbud.
45. Rigsrevisionen anbefaler, at Finanstilsynet genovervejer deres praksis for anven-
delse af sanktioner over for virksomheder, der ikke efterlever lovkravene til it-sikker-
hed eller overskrider fristerne for efterlevelse af påbud.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0029.png
22
| Finanstilsynets it-tilsyn
Offentliggørelse af påbud
46. Vi har undersøgt, om Finanstilsynet har efterlevet kravene til at offentliggøre på-
bud til finansielle virksomheder. Desuden har vi undersøgt, om de oplysninger, Finans-
tilsynet og virksomhederne offentliggør, giver kunderne mulighed for at holde sig orien-
teret om it-sikkerhedsmæssige risici i deres bank.
Finanstilsynets
forbrugeroplysende rolle
Ifølge § 333 a i lov om finansiel
virksomhed skal Finanstilsy-
net fremme den offentlige for-
brugerinformation.
Formålet er bl.a., at Finanstil-
synet skal bidrage til at styrke
forbrugernes viden, så de kan
træffe hensigtsmæssige be-
slutninger og få en tillidsska-
bende oplevelse, når de mø-
der den finansielle sektor.
47. Kravet om offentliggørelse af påbuddene skal ses i lyset af Finanstilsynets forbru-
geroplysende rolle. Redegørelserne om inspektionerne skal ifølge Finanstilsynets ret-
ningslinjer bl.a. give eksisterende og potentielle kunder bedre indsigt i virksomhederne.
Både Finanstilsynet og de finansielle virksomheder har ifølge lov om finansiel virksom-
hed og lov om betalinger pligt til at offentliggøre tilsynsreaktioner, herunder bl.a. på-
bud, på deres hjemmesider, medmindre fx fortrolighedshensyn taler imod det. Det
fremgår også, at virksomhederne kan fjerne oplysningerne fra deres hjemmeside ef-
ter 3 måneder. Dette gælder, uanset om virksomheden på det tidspunkt har rettet op
på manglerne eller ej.
Reglerne for offentliggørelse fremgår af offentlighedsbekendtgørelsen, som er udstedt
af erhvervsministeren. Heraf fremgår det, at Finanstilsynet efter hver inspektion skal
udarbejde en redegørelse med de centrale påbud, og at det er denne redegørelse, Fi-
nanstilsynet og virksomheden skal offentliggøre. Samlet set er der altså krav om, at
de påbud, Finanstilsynet udvælger som centrale påbud og derfor gengiver i redegø-
relsen, skal offentliggøres.
48. Undersøgelsen viser, at Finanstilsynet har offentliggjort alle redegørelserne for de
gennemførte it-inspektioner i perioden 2017-2023. Da virksomhederne ifølge loven kan
fjerne påbuddene efter 3 måneder, har det ikke været muligt at undersøge, om virk-
somhederne har offentliggjort alle de påbud, de har fået i hele perioden 2017-2023.
49. Undersøgelsen viser, at det ikke fremgår af de påbud, der er er gengivet i redegø-
relserne, hvilke konsekvenser den manglende it-sikkerhed kan få for virksomheder-
nes kunder, jf. eksemplet i boks 5.
Boks 5
Eksempel på påbud fra en inspektionsredegørelse vedrørende en systemisk vigtig virk-
somhed
Grundlæggende skal banken forbedre sin generelle styring af it-sikkerhed og it-risici. Banken skal bl.a. sikre, at forsvarslin-
jemodellen implementeres tilstrækkeligt i forhold til styring af it-risici. Banken skal også sikre, at kontrol- og sikringsforan-
staltningerne til enhver tid modsvarer risiciene, og at bankens ledelse får et tilstrækkeligt og dokumenteret grundlag for at
træffe beslutninger om bankens it-sikkerhed.
I forhold til outsourcing skal banken sikre, at de interne retningslinjer på alle områder stemmer overens med lovgivningens
krav, og at de efterleves. På it-driftsområdet skal banken centralisere og forbedre sin styring af it-aktiver og etablere til-
strækkelig overvågning, særligt af privilegerede brugere. Desuden skal banken styrke sine krav til adgangsstyring og sikre,
at kravene implementeres. Endelig skal banken forbedre sin it-beredskabsstyring. Målsætningerne for beredskabet skal
basere sig på analyser af konsekvenserne af nedbrud for forretningen, og ledelsen skal være tilstrækkeligt informeret om
målsætningerne. Der skal være klare krav til beredskabsplanernes indhold og til test heraf, så det sikres, at beredskabs-
målsætningerne kan overholdes i praksis.
Kilde:
Finanstilsynets redegørelse vedrørende en it-inspektion i en systemisk vigtig virksomhed.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Finanstilsynets it-tilsyn |
23
Rigsrevisionen anbefaler, at Finanstilsynet overvejer at supplere påbuddene med en
vurdering af, hvilke konsekvenser virksomhedernes utilstrækkelige it-sikkerhed kan
have for kunderne, så de kan se det i de offentliggjorte redegørelser.
Kunderne kan også få oplysninger om risici i deres bank via de it-hændelser, virksom-
hederne indberetter til Finanstilsynet. Finanstilsynet har ifølge lov om finansiel virk-
somhed også mulighed for, efter høring i virksomhederne, at offentliggøre de it-hæn-
delser, som virksomhederne indberetter, hvis Finanstilsynet vurderer, at offentlighe-
dens kendskab hertil er nødvendig for at forebygge eller håndtere en igangværende
hændelse. Virksomhederne har i perioden 2017-2023 indberettet 370 it-hændelser,
der spænder fra midlertidige forsinkelser i betalinger til driftsforstyrrelse og angreb
på servere og netværk. Finanstilsynet har oplyst, at de ikke har fundet det nødvendigt
at offentliggøre nogen af it-hændelserne.
It-hændelse
En it-hændelse er en hændel-
se, der negativt påvirker eller
vurderes at ville kunne påvir-
ke tilgængelighed, integritet
eller fortrolighed af data, infor-
mationssystemer, digitale net-
værk eller digitale tjenester.
Det kan fx være, hvis en ser-
ver går ned, eller hvis hackere
får adgang til et netværk.
2.4. It-tilsynet i danske filialer af udenlandske banker
50. Vi har undersøgt, hvilke muligheder og pligter Finanstilsynet har i henhold til lov
om finansiel virksomhed i forhold til at føre tilsyn med it-sikkerheden i danske filialer
af udenlandske banker, som har en stor del af deres kritiske infrastruktur placeret i
Danmark. Derudover har vi undersøgt, i hvilket omfang Finanstilsynet har ført tilsyn
med it-sikkerheden. Vi har ikke vurderet, om tilsynet er tilstrækkeligt, da det ville kræ-
ve, at vi undersøgte tilsynsindsatsen over for den samlede koncern i alle involverede
landes tilsynsmyndigheder, hvilket vi ikke har adgang til.
51. Lov om finansiel virksomhed sondrer mellem almindelige filialer og væsentlige filia-
ler. Vi fokuserer i det følgende på tilsynet med de væsentlige filialer, da der ifølge Fi-
nanstilsynet ikke er nogen af de almindelige filialer, der har kritisk finansiel infrastruk-
tur.
Finanstilsynet har udpeget 2 af de i alt 25 filialer af udenlandske banker i Danmark til
at være væsentlige filialer. Den ene af de 2 banker med en væsentlig filial i Danmark
har kritisk finansiel infrastruktur placeret i Danmark i form af et datacenter. Datacen-
teret understøtter hele bankens drift og styres fra bankens centrale it-organisation.
Den anden af de 2 banker med en væsentlig filial i Danmark har indtil 2022 haft kritisk
finansiel infrastruktur i Danmark, idet deres it-platform var outsourcet til en dansk fæl-
les datacentral. Efter 2022 er filialen blevet tilknyttet bankens centrale it-platform, og
banken har ikke længere kritisk finansiel infrastruktur i Danmark.
52. Tilsynet med væsentlige filialer af udenlandske banker er reguleret i lov om finan-
siel virksomhed. Lovbestemmelserne omhandler Finanstilsynets generelle tilsyn med
væsentlige filialer, og der er ingen specifikke krav til Finanstilsynets tilsyn med it-sik-
kerheden.
Væsentlige filialer
Finanstilsynet udpeger filialer
som væsentlige, hvis filialen
lever op til mindst ét af følgen-
de kriterier:
1. Filialen har en markedsan-
del i form af indlån på mere
end 2 % i Danmark.
2. Filialens balance udgør
mere end 4 % af Danmarks
BNP.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Statsrevisorernes anmodning
|
1
24
| Finanstilsynets it-tilsyn
Tilsynskollegier
Der skal i henhold til EU-reg-
lerne etableres tilsynskollegi-
er for de grænseoverskriden-
de finansielle koncerner. Til-
synskollegierne består af de
involverede tilsynsmyndighe-
der, som udveksler informa-
tion og koordinerer tilsyns-
mæssige opgaver.
De væsentlige filialer, der hører under banker i andre EU-lande, skal overholde hjem-
landets regler på it-området, og det er hjemlandets tilsynsmyndighed, der fører tilsyn
med, om filialerne overholder reglerne. Finanstilsynet har dog pligt til at overvåge filia-
lerne og bistå hjemlandets tilsynsmyndigheder i forbindelse med tilsynet af filialerne
via deltagelse i tilsynskollegier. Derudover har Finanstilsynet mulighed for at foretage
selvstændige inspektioner i de væsentlige filialer og i særligt hastende tilfælde iværk-
sætte de nødvendige forholdsregler for at beskytte kundernes kollektive interesser
mod finansiel ustabilitet.
Undersøgelsen viser, at Finanstilsynet for den ene væsentlige filial har overvåget it-sik-
kerheden og har bistået hjemlandets tilsyn via deltagelse i tilsynskollegiet og det un-
derliggende kollegie, som fører tilsyn med it-området. I den forbindelse har Finanstil-
synet gennemgået revisionsprotokollater, afholdt halvårlige it-statusmøder med filia-
len og løbende fulgt op på it-hændelser. Derudover har Finanstilsynet givet input til
hjemlandets risikovurdering af koncernen og deltaget i tilsynskollegiets halvårsmø-
der med banken om it-risiko. Finanstilsynet har også haft mulighed for at deltage i it-
inspektioner, der er foretaget af den Europæiske Centralbank, men har fravalgt den-
ne mulighed på grund af manglende resurser.
For den anden væsentlige filial har Finanstilsynet også bistået hjemlandets tilsyn via
deltagelse i tilsynskollegiet, hvor formålet bl.a. har været at drøfte hjemlandets risiko-
vurdering af koncernens it-systemer. Med hensyn til den kritiske infrastruktur i Dan-
mark har Finanstilsynet løbende ført tilsyn med den fælles datacentral, som filialens
it-platform var outsourcet til frem til 2022.
Finanstilsynet har for ingen af de væsentlige filialer anvendt mulighederne for at fore-
tage selvstændige inspektioner eller træffe specifikke forholdsregler, da de ikke er ble-
vet bekendt med mangler i it-sikkerheden, som kunne begrunde det.
Rigsrevisionen, den 1. maj 2024
Birgitte Hansen
/Niels Kjøller Petersen
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0032.png
Metodisk tilgang
|
1
Statsrevisorernes anmodning |
25
Bilag 1. Statsrevisorernes anmodning
Statsrevisorernes spørgsmål
Hvor mange it-tilsyn og it-inspektioner af finansielle virksomheder har Finanstilsynet gennemført i
perioden 2017-2022?
Hvor mange og hvilke påbud har Finanstilsynet udstedt i den forbindelse, og hvilken virkning har de
haft?
Hvilke muligheder har Finanstilsynet for at føre tilsyn med banker i Danmark, som har adresse/ho-
vedsæde i andre lande, men hvor en stor del af deres kritiske finansielle infrastruktur er placeret i
Danmark?
Har Finanstilsynets it-tilsyn og inspektioner været tilfredsstillende i perioden, bl.a. i forhold til tilsyns-
frekvens, rammer for tilsynet, risici og lovens hovedformål?
Hvilke muligheder har kunderne for at blive orienteret om eventuelle it-sikkerhedsmæssige risici og
påbud fra Finanstilsynet i deres pengeinstitut?
Her besvares spørgsmålet
Afsnit 2.2
Afsnit 2.3
Afsnit 2.4
Afsnit 2.1, 2.2 og 2.3
Afsnit 2.3
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
26
| Metodisk tilgang
Bilag 2. Metodisk tilgang
Undersøgelsen baserer sig på gennemgang af lovgrundlaget, skriftligt materiale fra
Finanstilsynet samt på en gennemgang af tilsynsmateriale fra Finanstilsynets it-in-
spektioner. Vi har derudover gennemgået den europæiske banktilsynsmyndigheds
retningslinjer vedrørende tilsynet med virksomhedernes styring af it-sikkerhed. En-
delig har vi holdt møder med Finanstilsynet for at understøtte analysen.
Væsentlige dokumenter
Vi har gennemgået en række dokumenter, herunder:
Lov om finansiel virksomhed (lovbekendtgørelse nr. 406 af 29. marts 2022).
Lov om betalinger (lovbekendtgørelse nr. 53 af 18. januar 2023).
Lov om kapitalmarkeder (lovbekendtgørelse nr. 41 af 13. januar 2023).
Bekendtgørelse af ledelse og styring af pengeinstitutter m.fl. (bekendtgørelse nr.
1103 af 30. juni 2022).
Bekendtgørelse om outsourcing af kreditinstitutter m.v. (bekendtgørelse nr. 973
af 22. juni 2022).
Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler m.fl.
(bekendtgørelse nr. 1581 af 22. december 2022).
Bekendtgørelse om finansielle virksomheders pligt til at offentliggøre Finanstilsy-
nets vurdering af virksomheden (bekendtgørelse nr. 857 af 14. juni 2022).
Europa-Parlamentets og Rådets Forordning nr. 909/2014 af 23. juli 2014 om vær-
dipapircentraler m.v. (CSDR).
Den europæiske banktilsynsmyndigheds retningslinjer for fælles procedurer og
metoder for tilsynskontrol- og vurderingsprocessen (SREP) (EBA/GL/2014/13)
samt den europæiske banktilsynsmyndigheds retningslinjer for IKT-risikovurde-
ring under tilsynskontrol- og vurderingsprocessen (SREP) (EBA/GL/2017/05).
Finanstilsynets politik for it-tilsyn og Finanstilsynets samlede risikobilleder 2018-
2023.
Finanstilsynets retningslinjer for planlægning af inspektioner.
Finanstilsynets årlige notater med it-inspektionsplaner for systemisk vigtige virk-
somheder.
Finanstilsynets årlige overordnede risikovurderinger af systemisk vigtige virksom-
heder 2017-2018.
Finanstilsynets særskilte it-risikovurderinger for systemisk vigtige virksomheder
for perioden 2019-2023.
Eksempler på den dokumentation, de finansielle virksomheder skal sende til Fi-
nanstilsynet som led i tilsynet med it-sikkerheden. Dette inkluderer virksomheder-
nes egne vurderinger af risici (ICAAP-rapporter), eksterne systemrevisionsproto-
kollater for datacentralerne og materiale fra halvårlige statusmøder med systemisk
vigtige virksomheder.
Alle inspektionsrapporter for it-inspektioner i systemisk vigtige virksomheder og
de indkaldelsesbreve, Finanstilsynet har sendt til virksomhederne forud for inspek-
tionerne.
Alle inspektionsrapporter for inspektioner i øvrige virksomheder i de tilfælde, hvor
it-området i virksomheden var blevet inspiceret.
Risikovurderingerne for de øvrige virksomheder, som Finanstilsynet har inspiceret
i perioden 2017-2023, uanset om it-området er inspiceret eller ej.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Metodisk tilgang |
27
Finanstilsynets retningslinjer vedrørende sanktioner og offentliggørelse af inspek-
tionsredegørelser og påbud.
Finanstilsynets overvågning af virksomhedernes efterlevelse af påbud.
Inspektionsredegørelser på Finanstilsynets hjemmeside.
Finanstilsynets samarbejdsaftaler med udenlandske tilsynsmyndigheder vedrø-
rende de væsentlige filialer under kreditinstitutter i Danmark samt eksempler på
virksomhedernes statusrapporter og Finanstilsynets referater i forbindelse med
overvågning af filialerne.
Finanstilsynets materiale vedrørende overvågning af virksomhedernes indberet-
ning af it-hændelser.
Formålet med gennemgangen af dokumenterne har været at skabe klarhed om reg-
ler og retningslinjer samt undersøge, om Finanstilsynet via retningslinjer og risikovur-
deringer har sikret et grundlag for, at tilsynsindsatsen rettes mod væsentlige og risiko-
fyldte virksomheder. Vi har gennemgået inspektionsmaterialet for at kortlægge, hvor-
når de forskellige virksomheder er blevet inspiceret, hvilke it-sikkerhedsområder in-
spektionerne dækkede, samt hvilke påbud og deadlines for efterlevelse Finanstilsy-
net har udstedt i forbindelse med inspektionerne. Vi har desuden gennemgået Finans-
tilsynets retningslinjer for sanktioner og offentliggørelse for at vurdere, om deres op-
følgning har sikret, at tilsynet fik størst mulig virkning.
Udvælgelsen af tilsynsaktiviteter, der indgår i undersøgelsen
I vores besvarelse af Statsrevisorernes spørgsmål om, hvorvidt tilsynet er tilfredsstil-
lende i forhold til risici, fokuserer vi på Finanstilsynets risikovurderinger, inspektioner
og opfølgning på de påbud, de giver til virksomhederne. De andre aktiviteter, som Fi-
nanstilsynet foretager i forbindelse med deres it-tilsyn, fx overvågning af indberetnin-
ger om it-hændelser, gennemgang af revisionserklæringer fra virksomhederne og mø-
der med virksomhederne om opfølgningen på påbud, indgår indirekte i undersøgelsen,
da Finanstilsynet bruger aktiviteterne til at udarbejde risikovurderinger og til at under-
støtte, at virksomhederne efterlever påbuddene.
Udvælgelsen af virksomhedstyper, der indgår i undersøgelsen
Undersøgelsen er afgrænset, så vi undersøger it-tilsynet med alle systemisk vigtige
virksomheder. Derudover inkluderer undersøgelsen it-tilsynet med alle de virksomhe-
der, der enten er omfattet af bilag 5 til bekendtgørelsen om ledelse og styring af pen-
geinstitutter m.fl., som er udstedt i medfør af lov om finansiel virksomhed. Det er det-
te lovgrundlag, Statsrevisorerne henviser til i deres anmodning. Derudover indgår
virksomheder, der er omfattet af lov om betalinger, lov om kapitalmarkeder eller af
EU-forordningen om værdipapircentraler.
Udvælgelsesmetoden skal sikre, at it-tilsynet med alle de vigtigste finansielle virksom-
heder behandles i undersøgelsen, og at alle øvrige virksomheder af samme typer og-
så inkluderes. Udvælgelsesmetoden tillader os for det første at belyse forskelle i it-til-
synet mellem systemisk vigtige virksomheder og de øvrige virksomheder. For det an-
det inkluderer undersøgelsen dermed alle typer virksomheder, som er underlagt den
lovgivning, der fremgår af Statsrevisorernes anmodning. Vores kriterier for udvælgel-
se af virksomhedstyper medfører, at pensions- og forsikringsselskaber ikke indgår i
undersøgelsen, da ingen af dem er udpeget som systemisk vigtige, og de heller ikke
er omfattet af bilag 5 til bekendtgørelsen om ledelse og styring af pengeinstitutter.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
28
| Metodisk tilgang
Vi opererer i undersøgelsen med 2 forskellige virksomhedspopulationer: systemisk
vigtige virksomheder og øvrige virksomheder. Nogle af virksomhederne er i løbet af
perioden blevet udpeget som systemisk vigtige. Alle inspektioner i virksomhederne
samt de eventuelle påbud, der er givet til virksomhederne, indgår i den population,
som virksomheden tilhørte på tidspunktet for inspektionen eller for tildelingen af på-
bud.
Metode og grundlag for vores vurderinger af Finanstilsynets tilrette-
læggelse, gennemførelse og opfølgning på it-tilsynet
Finanstilsynets tilrettelæggelse af it-tilsynet
Vi har gennemgået Finanstilsynets politik for it-tilsynet for at vurdere, om deres tilret-
telæggelse af tilsynet tager højde for virksomhedernes væsentlighed og opstiller mål-
sætninger, der understøtter, at der kan føres mest tilsyn med de væsentligste virksom-
heder. Vi har derudover gennemgået Finanstilsynets redegørelser for, hvilke princip-
per der afgør, om virksomheder udpeges som systemisk vigtige i forhold til tilsynet
med it-sikkerhed, samt gennemgået de årlige notater for planlægningen af it-inspek-
tioner i systemisk vigtige virksomheder for at se, om Finanstilsynet løbende har opda-
teret deres klassificering af systemisk vigtige virksomheder.
Finanstilsynet bør ifølge den europæiske banktilsynsmyndighed vurdere risici på it-
området som et led i at vurdere virksomhedernes overordnede, operationelle risiko
med henblik på at tilpasse tilsynsaktiviteten. Dette gælder både for de systemisk vig-
tige virksomheder og for øvrige virksomheder. Den europæiske banktilsynsmyndighed
anbefaler, at virksomhedernes risici vurderes særskilt i de tilfælde, hvor tilsynsmyn-
digheden vurderer, at it-området kan udgøre en væsentlig risiko for virksomheden. Vi
lægger derfor til grund, at denne anbefaling gælder for de virksomheder, Finanstilsynet
vurderer som systemisk vigtige. Derfor har vi undersøgt, om Finanstilsynet har udarbej-
det særskilte it-risikovurderinger for de systemisk vigtige virksomheder.
Den europæiske banktilsynsmyndighed forudsætter ikke, at it-risici skal vurderes sær-
skilt for virksomheder, der ikke er systemisk vigtige. Vi forventer derfor ikke, at Finans-
tilsynet har udarbejdet særskilte it-risikovurderinger for de øvrige virksomheder, og
undersøger i stedet, om Finanstilsynet som et led i deres samlede risikovurdering på
systematisk vis også har vurderet virksomhedernes it-sikkerhed.
For de systemisk vigtige virksomheder gennemgår vi derudover Finanstilsynets ret-
ningslinjer for tilrettelæggelse af inspektioner samt deres notater med it-inspektions-
planer for at se, om de anvender risikovurderinger af it-området i virksomhederne til
at tilrettelægge inspektioner og inspektionsfrekvens.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
Metodisk tilgang |
29
Finanstilsynets gennemførelse af it-tilsynet
Systemisk vigtige virksomheder
I vores undersøgelse af gennemførelsen af inspektioner har vi har anvendt inspek-
tionsrapporter fra Finanstilsynet til at opgøre datoerne for, hvornår Finanstilsynet har
udført inspektionerne i virksomhederne, og hvornår inspektionerne efterfølgende er
afsluttet. Vi har også anvendt inspektionsrapporterne til at opgøre, hvornår virksom-
heden modtager en rapport med eventuelle påbud. I opgørelsen af antallet af it-inspek-
tioner i systemisk vigtige virksomheder tæller vi de inspektioner, der er afsluttet med
en rapport i perioden 1. januar 2017 - 31. december 2023. Vi bruger derudover inspek-
tionsrapporterne til at opgøre, hvilke it-områder Finanstilsynet har dækket med in-
spektionerne. I Finanstilsynets seneste it-risikovurderinger fremgår der for hver virk-
somhed en vurdering af risikoen på alle de 7 it-områder, som Finanstilsynet inddeler
deres it-inspektioner i. Vi har brugt disse risikovurderinger af it-områderne til at un-
dersøge, om Finanstilsynet efterfølgende har gennemført inspektioner på de mest ri-
sikofyldte it-områder.
Overholdelse af minimumsfrekvensen og tidsintervallet mellem inspektioner i sy-
stemisk vigtige virksomheder
Da det ikke fremgår af Finanstilsynets retningslinjer, hvordan overholdelsen af mini-
mumfrekvensen skal opgøres, tager vores beregninger udgangspunkt i den metode,
som Finanstilsynet har oplyst, at de selv anvender. Vi beregner derfor intervallet mel-
lem 2 inspektioner ved at tælle antallet af dage fra dateringen på den afsluttende rap-
port fra inspektion nr. 1 til dateringen på indkaldelsesbrevet, som Finanstilsynet sen-
der til virksomheden forud for inspektion nr. 2. Hvis intervallet mellem 2 inspektioner
efter denne beregning overstiger 1.460 dage, svarende til 4 år, har vi vurderet, at mi-
nimumsfrekvensen har været overskredet for den pågældende virksomhed.
For de virksomheder, der er blevet udpeget som systemisk vigtige i løbet af perioden,
har vi derfor beregnet intervallet fra tidspunktet for udpegning som systemisk vigtig
til dateringen for indkaldelsesbrevet til første it-inspektion efter udpegningen. Hvis
Finanstilsynet har sendt et indkaldelsesbrev til it-inspektion mindre end 4 år efter ud-
pegningen af virksomheden som systemisk vigtig, vurderer vi, at minimumsfrekven-
sen er overholdt. Hvis det er mindre end 4 år siden, at virksomheden er blevet udpe-
get som systemisk vigtig, og Finanstilsynet endnu ikke har afsluttet en it-inspektion,
kan vi ikke vurdere, om minimumsfrekvensen er overholdt.
Ud over opgørelsen af Finanstilsynets overholdelse af minimumsfrekvensen har vi
også beregnet, hvor lang tid der går mellem, at Finanstilsynet er til stede i virksomhe-
derne og udfører it-inspektioner. Vi har valgt dette tidspunkt for, hvornår Finanstilsy-
net udfører inspektionen af 2 årsager. For det første, fordi det er det tidspunkt, hvor
Finanstilsynet får detaljeret viden om virksomhedens regelefterlevelse. For det andet
er tidspunktet valgt ud fra et ønske om sammenlignelighed mellem inspektioner. Det
skyldes, at der er meget stor forskel fra inspektion til inspektion i forhold til, hvor lang
tid der går, fra Finanstilsynet sender indkaldelsesbrevet til virksomheden og derefter
udfører inspektionen, og derudover også stor forskel på, hvor lang tid der går fra sel-
ve udførelsen af inspektionen, til Finanstilsynet afslutter inspektionen med en rapport
til virksomheden.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
30
| Metodisk tilgang
It-inspektioner af it-sikkerhed i øvrige virksomheder
Vi har gennemgået alle inspektionsrapporter for virksomheder, hvor inspektionen er
afsluttet og afrapporteret i perioden 1. januar 2017 - 31. december 2023, for at opgøre,
hvor mange inspektioner af it-området Finanstilsynet har gennemført. Vi har sammen-
holdt inspektionerne med Finanstilsynets lister over aktive finansielle virksomheder
pr. 31. december 2023 for at opgøre, hvor stor en andel af disse virksomheder, Finans-
tilsynet har inspiceret it-sikkerheden i, og hvilke typer virksomheder der er tale om.
For bankerne, hvor Finanstilsynet siden 2020 har risikovurderet it-sikkerheden, har
vi for hver inspektion også gennemgået tilhørende risikovurderinger. Det gælder bå-
de inspektioner, hvor it-området har været undersøgt som led i inspektionen, og in-
spektioner, hvor Finanstilsynet har fravalgt at undersøge it-området. Vi har brugt risi-
kovurderingerne til at se, om Finanstilsynet i højere grad har inkluderet it-området i in-
spektioner, når virksomhedernes risiko på it-området var høj.
Finanstilsynets opfølgning på it-tilsynet
Vi har gennemgået lov om finansiel virksomhed, lov om betalinger, bekendtgørelse om
Finanstilsynets pligt til at offentliggøre Finanstilsynets vurdering af virksomheden, Fi-
nanstilsynets sanktionspolitik og deres forretningsgang vedrørende afslutning af in-
spektioner. Formålet har været at redegøre for Finanstilsynets hjemmel til og retnings-
linjer i forbindelse med at sanktionere, herunder give påbud til virksomheder, der har
utilstrækkelig it-sikkerhed, og bøder til virksomheder, der ikke efterlever påbuddene,
og deres retningslinjer for at offentliggøre påbud. Denne del bygger også på redegø-
relser fra og møder med Finanstilsynet for at få indsigt i deres praksis.
Vi har gennemgået alle rapporter for it-inspektioner i systemisk vigtige virksomheder,
og alle rapporter for inspektioner i de øvrige virksomheder, hvor it-området er blevet
undersøgt. Finanstilsynets påbud til virksomhederne fremgår af rapporterne, og vi har
på den baggrund opgjort antallet af påbud til virksomhederne samt andelen af virk-
somheder, der har fået påbud for henholdsvis systemisk vigtige og øvrige virksomhe-
der. Vi har desuden opgjort, hvilke it-områder påbuddene vedrører.
I inspektionsrapporten sætter Finanstilsynet i samarbejde med virksomhederne en
frist for, hvornår virksomhederne skal efterleve påbuddene. Finanstilsynet har derud-
over oplyst os datoerne for, hvornår de har vurderet, at de enkelte påbud var efterle-
vet af virksomhederne. Disse oplysninger har vi sammen med fristerne fra rapporter-
ne brugt til at beregne andelen af virksomheder, som har efterlevet påbuddene inden
for fristen, og hvor meget virksomhedernes frist for efterlevelse af påbud i gennem-
snit er blevet overskredet.
Vi har desuden kontrolleret, om de redegørelser, Finanstilsynet har sendt til de inspi-
cerede virksomheder fra 2017 til 2023 var tilgængelige på Finanstilsynets hjemmeside.
It-tilsynet i danske filialer af udenlandske banker
Vi har gennemgået lov om finansiel virksomhed for at kortlægge Finanstilsynets mu-
ligheder og pligter i forhold til at føre tilsyn med it-sikkerheden i de udenlandske ban-
kers danske filialer, der har en stor del af deres kritiske infrastruktur placeret i Dan-
mark. Desuden har vi holdt møder med og indhentet redegørelser fra Finanstilsynet
for deres praksis med tilsynet over for filialer samt indhentet og gennemgået doku-
mentation for det førte tilsyn med it-sikkerheden i væsentlige filialer.
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
De finansielle virksomheder, der indgår i undersøgelsen
|
1
Metodisk tilgang |
31
Kvalitetssikring
Undersøgelsen er kvalitetssikret via vores interne procedurer for kvalitetssikring,
som omfatter høring hos den reviderede samt ledelsesbehandling og sparring med
chefer og medarbejdere i Rigsrevisionen.
Standarderne for offentlig revision
Revisionen er udført i overensstemmelse med standarderne for offentlig revision, her-
under standarderne for større undersøgelser (SOR 3). Standarderne fastlægger, hvad
brugerne og offentligheden kan forvente af revisionen, for at der er tale om en god fag-
lig ydelse. Standarderne er baseret på de grundlæggende revisionsprincipper i rigs-
revisionernes internationale standarder (ISSAI 100-999).
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0039.png
32
| De finansielle virksomheder, der indgår i undersøgelsen
Bilag 3. De finansielle virksomheder, der indgår i under-
søgelsen
Tabel A
De finansielle virksomheder
Virksomhedstype
Realkreditinstitutter
og andre kreditinstitutter
Navn
DLR Kredit
Nykredit Realkredit-koncernen
(herunder Totalkredit og Nykredit Bank)
KommuneKredit
Pengeinstitutter
(banker, sparekasser og andelskasser)
Andelskassen Fælleskassen
Borbjerg Sparekasse
Coop Bank
Danske Bank-koncernen
(herunder Realkredit Danmark)
Dragsholm Sparekasse
Facit Bank
Frørup Andelskasse
Fynske Bank
Hvidbjerg Bank
Klim Sparekasse
Kreditbanken
Lollands Bank
Lægernes Bank
Maj Bank
Middelfart Sparekasse
Nordfyns Bank
P/F BankNordik
PenSam Bank
Ringkjøbing Landbobank
Rønde Sparekasse
Skjern Bank
Sparekassen Balling
Sparekassen Danmark
Sparekassen for Nørre Nebel og Omegn
Sparekassen Sjælland-Fyn
Stadil Sparekasse
Sydbank
Sønderhå-Hørsted Sparekasse
Arbejdernes Landsbank
(herunder Vestjysk Bank)
Borgervennen af 1788
Danske Andelskassers Bank
Djurslands Bank
Ekspres Bank
1)
Faster Andelskasse
Frøslev-Mollerup Sparekasse
Grønlandsbanken
Jyske Bank-koncernen
(herunder Jyske Realkredit)
Kompasbank
1)
Leasing Fyn Bank
1)
Lunar Bank
1)
Lån & Spar Bank
Merkur Andelskasse
Møns Bank
Nordoya Sparikassi
P/F Betri Banki
PFA Bank
Rise Sparekasse
Saxo Bank
Spar Nord Bank
Sparekassen Bredebro
Sparekassen Djursland
Sparekassen Kronjylland
Sparekassen Thy
Suduroyar Sparikassi P/F
Sydjysk Sparekasse
Nordea Kredit
Danmarks Skibskredit
1)
 FIU, Alm.del - 2023-24 - Bilag 191: Beretning 14/2023 om Finanstilsynets it-tilsyn
2867641_0040.png
De finansielle virksomheder, der indgår i undersøgelsen |
33
Tabel A (fortsat)
De finansielle virksomheder
Virksomhedstype
E-penge- og betalingsinstitutter
Navn
4T AF 1. OKTOBER 2012
AMC-CONSULT
Capuchin
Clearhaus
Flex Funding
Inpay
Kameo
Loomis Danmark
Mastercard Payment Services
2)
Monthio
Nordea Finans Danmark
PayProff
Safenetpay
Subaio
Xero Denmark
ZTLment
Investeringsforvaltningsselskaber
BI Management
Formuepleje
Handelsinvest Investeringsforvaltning
Investeringsforvaltningsselskabet SEBinvest
Nykredit Portefølje Administration
Syd Fund Management
Fælles datacentraler
BEC Financial Technologies
Foreningen Bankdata
JN Data
P/F Elektron
It-operatører af detailbetalingssystemer
Værdipapircentraler
Markedspladser
1)
2)
Aiia
Billy
Cardlay
Coop Betalinger
Forbrugsforeningen af 1886
Januar
Kontolink
LOYAL SOLUTIONS
Mazepay
Nets Denmark
November First,
Pleo Financial Services
Secure Payment
SymblePay
Ziglu Europe
Danske Invest Management
Fundmarket
Invest Administration
Jyske Invest Fund Management
PFA Asset Management
Tiedemann Independent
E-nettet
Gensam Data
SDC
Mastercard Payment Services
2)
VP Securities
Nasdaq Copenhagen
Penge eller kreditinstituttet er ikke tilknyttet en datacentral.
Mastercard Payment Services er både en udbyder af betalingstjenester og en it-operatører af detailbetalingssystemer og indgår derfor 2 steder i
tabellen. Men er kun talt med som én virksomhed samlet i total.
Kilde:
Rigsrevisionen på baggrund af oplysninger fra Finanstilsynet.