Statsrevisorerne beretning SB14/2023 - Bilag 2: Erhvervsministerens redegørelse af 15. august 2024 om beretning 14/2023 om Finanstilsynets it-tilsyn

Erhvervsudvalget 2023-24
SB 14 2
Offentligt

Beretning Nr. 14 Erhvervsministerens redegørelse af 15. august 2024 om beretning 14/2023 om Finanstilsynets it-tilsyn

Statsrevisorernes Sekretariat

Folketinget

Christiansborg

1240 København K

ERHVERVSMINISTEREN

15. august 2024

ERHVERVSMINISTERIET

Erhvervsministerens redegørelse til Statsrevisorernes beretning nr.

14/2023 om Finanstilsynets it-tilsyn

Statsrevisorerne har anmodet om min redegørelse for de foranstaltninger

og overvejelser, som beretning nr. 14/2029 om Finanstilsynets it-tilsyn har

givet anledning til.

Indledningsvist vil jeg gerne kvittere for Statsrevisorernes bemærkninger

og Rigsrevisionens beretning, som berører et vigtigt emne. Det er efter min

opfattelse afgørende, at Finanstilsynet har fokus på, at dets it-tilsyn bidra-

ger til den finansielle stabilitet og tilliden til den finansielle sektor.

Jeg noterer mig, at Rigsrevisionen har undersøgt Finanstilsynets it-tilsyn i

perioden fra 2017 til 2023. I den periode er it-tilsynet i Finanstilsynet blevet

styrket markant, herunder på baggrund af den øgede it-afhængighed og

trusselsudviklingen på området. Blandt andet er der i Finanstilsynet i 2021

etableret et selvstændigt og dedikeret kontor for tilsyn med it-sikkerhed i

de systemiske vigtige finansielle virksomheder, herunder store banker, da-

tacentraler og finansielle infrastrukturselskaber. Derudover er antallet af

medarbejdere, der primært beskæftiger sig med it-tilsyn, forøget væsentligt

fra 4 til 12 medarbejdere. It-tilsyn er samtidig blevet styrket som tilsyns-

område i de øvrige fagkontorer i Finanstilsynet. Derudover er kravene til

it-sikkerhed hos de finansielle virksomheder løbende blevet skærpet.

En række kommende tiltag vil desuden adressere Rigsrevisionens konklu-

sioner og anbefalinger. Disse udfoldes nærmere i det følgende.

Vedr. tilrettelæggelse og gennemførelse af it-tilsynet

Det Europæiske Råd og Europa-Parlamentet har vedtaget en ny forordning,

DORA, som finder anvendelse fra den 17. januar 2025. Formålet med de

nye regler er at styrke og harmonisere it-tilsynet med den finansielle sektor

på tværs af virksomhedstyper i hele EU. DORA-forordningen sætter nye

og mere tidssvarende rammer for tilsynet med IT- og cybersikkerhed i et

fælles regelsæt på tværs af finanssektoren.

Slotsholmsgade 10-12

1216 København K

Tlf.

33 92 33 50

Fax.

33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

[email protected]

www.em.dk

Statsrevisorerne beretning SB14/2023 - Bilag 2: Erhvervsministerens redegørelse af 15. august 2024 om beretning 14/2023 om Finanstilsynets it-tilsyn

2/2

Der pågår et arbejde i Erhvervsministeriet, herunder Finanstilsynet, om at

gennemføre DORA-forordningen i dansk lovgivning frem mod den 17. ja-

nuar 2025, hvor DORA-forordningen finder anvendelse, bl.a. med lov-

forslag L 122, der blev vedtaget af Folketinget den 2. maj 2024.

Finanstilsynet arbejder desuden aktuelt på at tilpasse it-tilsynet i henhold

til de nye regler i DORA-forordningen, herunder opdatere metoder for til-

rettelæggelse og gennemførelse af tilsyn med it. Arbejdet forventes færdig-

implementeret 1. kvartal 2025. I den sammenhæng kan det oplyses, at det

er besluttet at styrke it-tilsynet med yderligere i alt 15 årsværk.

Vedr. offentliggørelse af påbud

Erhvervsministeriet kan oplyse, at Finanstilsynet vil vurdere muligheden

for at tydeliggøre konsekvenser for kunder ved offentliggørelse af påbud,

herunder offentliggørelse af redegørelser om langvarige overskridelser af

efterlevelsen af påbud. Det skal vurderes, om en tydeliggørelse kan foregå

på en måde, så det giver reel merværdi for kunderne indenfor rammerne af

den direktivfastsatte tavshedspligt. Denne vurdering forventes at foreligge

senest 1. kvartal 2025.

Vedr. anvendelse af sanktionsmuligheder

Erhvervsministeriet kan oplyse, at Finanstilsynet vil genoverveje sin prak-

sis for anvendelse af sanktioner over for virksomheder, der ikke efterlever

lovkravene til it-sikkerhed eller overskrider fristerne for efterlevelse af på-

bud. Det kan f.eks. omfatte øget anvendelse af tilsynsreaktioner, kapitaltil-

læg og bøder. Der vil således blive anlagt en bred tilgang til vurdering af

sanktionsmulighederne. Forankring af denne tilgang forventes at foreligge

senest 1. kvartal 2025.

Jeg tager på den baggrund beretningen til efterretning.

Erhvervsministeriet har fremsendt en kopi af denne redegørelse til Rigsre-

visionen.

Med venlig hilsen

Morten Bødskov