Statsrevisorerne beretning SB14/2023 - Bilag 3: Rigsrevisionens § 18. stk. 4 notat af 11. september 2024 om beretning nr. 14/2023 om Finanstilsynets it-tilsyn

Erhvervsudvalget 2023-24
SB 14 3
Offentligt

Beretning Nr. 14 Rigsrevisionens § 18. stk. 4 notat af 11. september 2024 om beretning nr. 14/2023 om Finanstilsynets it-tilsyn

September 2024

Rigsrevisionens notat om

beretning om

Finanstilsynets it-tilsyn

Statsrevisorerne beretning SB14/2023 - Bilag 3: Rigsrevisionens § 18. stk. 4 notat af 11. september 2024 om beretning nr. 14/2023 om Finanstilsynets it-tilsyn

Notat til Statsrevisorerne, jf. rigsrevisorlovens § 18, stk. 4

Vedrører:

Statsrevisorernes beretning nr. 14/2023 om Finans-

tilsynets it-tilsyn

Erhvervsministerens redegørelse af 15. august 2024

11. september 2024

RN 1112/24

1. Rigsrevisionen gennemgår i dette notat de initiativer, som erhvervsministeren vil

iværksætte som følge af Statsrevisorernes bemærkninger og beretningens konklusio-

ner. Dette sker med henblik på at vurdere, om Erhvervsministeriets initiativer adres-

serer den kritik, der fremgår af Statsrevisorernes bemærkninger og Rigsrevisionens

beretning.

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

Konklusion

§ 18, stk. 4-notat

Rigsrevisionen finder, at erhvervsministeren har redegjort for, hvordan ministeriet og

Finanstilsynet vil følge op på de væsentligste kritikpunkter i beretningen og Statsreviso-

rernes bemærkninger.

Erhvervsministeren tager beretningen til efterretning og oplyser, at en række kommen-

de tiltag vil adressere beretningens konklusioner og anbefalinger. I forhold til beretnin-

gens konklusioner om at styrke tilrettelæggelsen og gennemførelsen af it-tilsynet hen-

viser ministeren til, at Erhvervsministeriet er ved at implementere en ny EU-forord-

ning, DORA, som indebærer ændringer af it-tilsynet. Rigsrevisionen vil, når det nye it-

tilsyn foreligger, vurdere, om Finanstilsynet har taget højde for Statsrevisorernes be-

mærkninger og beretningens konklusioner for så vidt angår tilrettelæggelsen og gen-

nemførelsen af it-tilsynet.

Erhvervsministeren oplyser også, at Finanstilsynet vil genoverveje sin praksis for an-

vendelse af sanktioner over for virksomheder, der ikke efterlever lovkravene til it-sik-

kerhed eller overskrider fristerne for efterlevelse af påbud. Finanstilsynet vil desuden

vurdere muligheden for at tydeliggøre konsekvenserne for kunderne, når de offentlig-

gør påbud i redegørelserne.

Alle 3 initiativer forventes gennemført 1. kvartal 2025.

Eventuelt

fortsat(te) notat(er)

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

DORA-forordningen

Formålet med DORA-forord-

ningen er at styrke og harmo-

nisere it-tilsynet med den fi-

nansielle sektor på tværs af

virksomhedstyper i hele EU.

Erhvervsministeriet er p.t. ved

at implementere forordningen

i dansk lovgivning.

Statsrevisorerne beretning SB14/2023 - Bilag 3: Rigsrevisionens § 18. stk. 4 notat af 11. september 2024 om beretning nr. 14/2023 om Finanstilsynets it-tilsyn

Rigsrevisionen vil følge udviklingen og orientere Statsrevisorerne om:

•

Finanstilsynets arbejde med at styrke it-tilsynet inden for rammerne af DORA-for-

ordningen

Finanstilsynets arbejde med at sanktionere virksomheder, der ikke efterlever lov-

kravene til it-sikkerhed eller overskrider fristerne for efterlevelse af påbud

Finanstilsynets arbejde med at tydeliggøre konsekvenserne af de konstaterede

mangler i virksomhedernes it-sikkerhed for kunderne.

I. Baggrund

2. Rigsrevisionen afgav i maj 2024 en beretning om Finanstilsynets it-tilsyn. Beretnin-

gen handlede om Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed.

3. Da Statsrevisorerne behandlede beretningen, fandt de Finanstilsynets tilsyn med

finansielle virksomheders it-sikkerhed utilfredsstillende. Statsrevisorerne fandt, at det

utilfredsstillende tilsyn øger risikoen for it-nedbrud, økonomiske tab og tab af tillid fra

kunder og omverden.

4. Hele sagen kan følges på www.rigsrevisionen.dk og på www.ft.dk/Statsrevisorerne.

Systemisk vigtige virk-

somheder

Virksomheder, der i kraft af

deres størrelse eller karakte-

ren af deres ydelser er så væ-

sentlige for den finansielle

sektor, at brud på it-sikker-

heden vil kunne true den sam-

lede finansielle stabilitet.

Investeringsforvaltnings-

selskaber

5. Bilag 1 viser Folketingets behandling af beretningen.

II. Gennemgang af ministerens redegørelse

Tilrettelæggelse og gennemførelse af it-tilsynet

Investeringsforvaltnings-

selskaber forvalter og admini-

strerer danske investerings-

foreninger, fx selskabet For-

muepleje.

E-penge- og betalings-

institutter

6. Statsrevisorerne fandt det bekymrende, at Finanstilsynet ikke havde inspiceret it-

sikkerheden i en tredjedel af de systemisk vigtige virksomheder inden for det 4-årige

interval, som de skal ifølge deres retningslinjer. På områder som fx adgangsstyring og

fysisk sikkerhed havde Finanstilsynet ikke gennemført it-inspektioner i flere år, selv

om Finanstilsynet selv vurderer, at en del virksomheder har høje risici på områderne.

Statsrevisorerne bemærkede også, at Finanstilsynet stort set ikke havde risikovur-

deret it-sikkerheden for investeringsforvaltningsselskaberne og heller ikke for de e-

penge- og betalingsinstitutter og datacentraler, der ikke er systemisk vigtige. Desu-

den havde Finanstilsynet kun i meget begrænset omfang inspiceret investeringsfor-

valtningsselskaberne samt e-penge- og betalingsinstitutterne. Den begrænsede in-

spektion var dermed sket uden foregående risikovurdering af it-sikkerheden i virk-

somhederne, og Finanstilsynet havde ikke haft et grundlag for at vide, om fravalget af

tilsyn med it-sikkerheden var hensigtsmæssigt.

E-penge- og betalingsinstitut-

ter (fx Nets og Forbrugsfore-

ningen) er virksomheder, der

formidler elektroniske beta-

linger mellem 2 parter.

Statsrevisorerne beretning SB14/2023 - Bilag 3: Rigsrevisionens § 18. stk. 4 notat af 11. september 2024 om beretning nr. 14/2023 om Finanstilsynets it-tilsyn

7. Erhvervsministeren oplyser, at Erhvervsministeriet er ved at implementere DORA-

forordningen i dansk lovgivning, og at Finanstilsynet er i gang med at tilpasse it-tilsynet

til de nye regler i DORA-forordningen. Finanstilsynet er i den forbindelse ved at opda-

tere metoderne for tilrettelæggelse og gennemførelse af tilsynet. Arbejdet forventes

implementeret ved udgangen af 1. kvartal 2025. Rigsrevisionen vil, når det nye it-tilsyn

foreligger, vurdere, om Finanstilsynet i det nye tilsyn har taget højde for Statsreviso-

rernes bemærkninger og beretningens konklusioner for så vidt angår tilrettelæggelsen

og gennemførelsen af it-tilsynet.

8. Rigsrevisionen vil følge Finanstilsynets arbejde med at styrke it-tilsynet inden for

rammerne af DORA-forordningen.

Anvendelse af sanktioner

9. Statsrevisorerne bemærkede, at Finanstilsynet aldrig havde anvendt deres hjem-

mel til at sanktionere virksomheder, der ikke overholdt Finanstilsynets frister for ef-

terlevelse af påbud, selv om virksomhederne i gennemsnit havde overskredet frister-

ne med 2 år.

Statsrevisorerne bemærkede også, at Finanstilsynet ikke havde udstedt administra-

tive bødeforlæg til virksomhederne, fordi de vurderede, at bødesatserne var så små,

at bøderne kun kunne gives for overtrædelser, der kunne karakteriseres som bagate-

lagtige. Statsrevisorerne anbefalede i den forbindelse, at Finanstilsynet skærper de-

res praksis for anvendelse af sanktioner over for virksomheder, der ikke efterlever lov-

kravene til it-sikkerhed eller overskrider fristerne for efterlevelse af påbud.

10. Det fremgår af erhvervsministerens redegørelse, at Finanstilsynet vil genoverveje

sin praksis for anvendelse af sanktioner over for virksomheder, der ikke efterlever lov-

kravene til it-sikkerhed eller overskrider fristerne for efterlevelse af påbud. Ministeren

oplyser desuden, at der vil blive anlagt en bred tilgang, og at der kan blive tale om øget

anvendelse af såvel tilsynsreaktioner som kapitaltillæg og bøder. Ministeren forventer,

at en ny tilgang vil være på plads 1. kvartal 2025.

Rigsrevisionen vil følge Erhvervsministeriets arbejde med at sanktionere virksomhe-

der, der ikke efterlever lovkravene til it-sikkerhed eller overskrider fristerne for efter-

levelse af påbud.

Tydeliggørelse af konsekvenserne af manglende it-sikkerhed

Frister for efterlevelse af

påbud

Når Finanstilsynet afslutter

deres inspektioner fastsætter

de en frist for, hvornår virk-

somheden skal efterleve even-

tuelle påbud om at rette op på

mangler i deres it-sikkerhed.

Offentliggørelse af påbud

11. Rigsrevisionens undersøgelse viste, at det ikke fremgik af de offentliggjorte rede-

gørelser, hvilke konsekvenser den manglende it-sikkerhed, som Finanstilsynet havde

påbudt virksomhederne at følge op på, kunne få for virksomhedernes kunder.

Rigsrevisionen anbefalede derfor, at Finanstilsynet overvejede at supplere påbud-

dene med en vurdering af, hvilke konsekvenser virksomhedernes utilstrækkelige it-

sikkerhed kan have for kunderne, så de kan se det i de offentliggjorte redegørelser.

Statsrevisorerne tilsluttede sig Rigsrevisionens anbefaling.

I henhold til lov om finansiel

sikkerhed skal Finanstilsynet

efter hver inspektion sende en

redegørelse til virksomheden

med de påbud, Finanstilsynet

har givet. Både Finanstilsynet

og virksomheden skal heref-

ter offentliggøre redegørelsen.

Statsrevisorerne beretning SB14/2023 - Bilag 3: Rigsrevisionens § 18. stk. 4 notat af 11. september 2024 om beretning nr. 14/2023 om Finanstilsynets it-tilsyn

Det fremgår af erhvervsministerens redegørelse, at Finanstilsynet vil vurdere mulighe-

den for at tydeliggøre konsekvenserne for kunderne, når de offentliggør påbud i rede-

gørelserne. Ministeren oplyser i den forbindelse, at det skal vurderes, om konsekven-

serne kan tydeliggøres på en måde, så det giver reel merværdi for kunderne inden for

rammerne af den direktivfastsatte tavshedspligt. Vurderingen forventes at foreligge

senest 1. kvartal 2025.

Rigsrevisionen vil følge Erhvervsministeriets arbejde med at tydeliggøre konsekven-

serne af de konstaterede mangler i virksomhedernes it-sikkerhed for kunderne.

Birgitte Hansen

Statsrevisorerne beretning SB14/2023 - Bilag 3: Rigsrevisionens § 18. stk. 4 notat af 11. september 2024 om beretning nr. 14/2023 om Finanstilsynets it-tilsyn

Bilag 1. Folketingets behandling af beretningen

Beretning (nr.),

dato for Stats-

revisorernes

mødebehandling

og minister-

redegørelse(r)

Finanstilsynets

it-tilsyn

(nr.

14/2023)

13-05-2024

Minister-

redegørelse:

Erhvervsministeren:

15-08-2024

Behandlet i

udvalg

Teknisk gennem-

gang ved Stats-

revisorerne og

Rigsrevisionen

Udvalgs-

spørgsmål (nr.)

Indkaldt til

samråd

Statsrevisorerne

har holdt møde

med ministeren

§ 20-spørgsmål

Finansudvalget:

23-05-2024