Rigsrevisors notater til Statsrevisorerne 2023 nr. 5: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed

Statsrevisorerne 2023
5
Offentligt

Juni 2023

Rigsrevisionens notat om

tilrettelæggelsen af en

større undersøgelse af

Finanstilsynets tilsyn

med finansielle virk-

somheders it-sikkerhed

Rigsrevisors notater til Statsrevisorerne 2023 nr. 5: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed

2.. 1.

Tilrettelæggelsesnotat til Statsrevisorerne

Tilrettelæggelsen af en større undersøgelse af Finans-

tilsynets tilsyn med finansielle virksomheders it-sikker-

hed

8. juni 2023

RN 1113/23

I. Indledning

1. Statsrevisorerne anmodede på deres møde den 24. april 2023 om en undersøgelse

af Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed, jf. rigsrevisorlo-

vens § 8, stk. 1. Dette notat beskriver, hvordan en eventuel større undersøgelse vil kun-

ne tilrettelægges.

Undersøgelsen kan gennemføres, så Rigsrevisionen kan afgive en beretning til Stats-

revisorerne i foråret 2024.

II. Baggrund

2. Baggrunden for Statsrevisorernes anmodning er, at Folketingets Udvalg for Digita-

lisering og It har anmodet Statsrevisorerne om revisionsmæssig bistand til en under-

søgelse. Fokus for undersøgelsen er omfanget og kvaliteten af Finanstilsynets it-tilsyn

og inspektioner af finansielle virksomheders styring af deres it-sikkerhed og it-risici.

It-sikkerhed i den finansielle sektor

Finansielle virksomheder

Finansielle virksomheder om-

fatter penge- og realkreditin-

stitutter, pensions- og forsi-

kringsselskaber, investerings-

selskaber, fondsmæglere mfl.

3. It-sikkerhed i den finansielle sektor er vigtig af flere grunde. For det første kan læn-

gerevarende it-nedbrud true den finansielle stabilitet og tilliden til den finansielle sek-

tor, ikke mindst fordi langt de fleste betalinger foregår digitalt i Danmark. Det fremgår

”Strategi

for den finansielle sektors cyber- og informationssikkerhed 2022-2025”.

For det andet står den danske finanssektor ifølge trusselsvurderingen fra Center for

Cybersikkerhed over for et meget højt trusselsniveau fra cyberkriminalitet. For det

tredje har Finanstilsynet gennem flere år gennemført en spørgeskemaundersøgelse,

der viser, at it-relaterede risici topper listen over risici, som de finansielle virksomhe-

der er mest bekymrede for, og at cybersikkerhed er den risiko, virksomhederne finder

mest udfordrende at håndtere.

Rigsrevisors notater til Statsrevisorerne 2023 nr. 5: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed

Finanstilsynet

4. Finanstilsynets opgave er at medvirke til finansiel stabilitet og tillid til den finansiel-

le sektor hos borgere og virksomheder i ind- og udland. Opgaven løses ved, at Finans-

tilsynet:

•

fører tilsyn med de finansielle virksomheder og markeder

udarbejder regler på det finansielle område

belyser udviklingen i den finansielle sektor i Danmark gennem statistik og løbende

information.

Finanstilsynet er finansieret af afgifter fra de virksomheder, der er underlagt tilsynet.

Systemisk vigtige finan-

sielle institutter

Systemisk vigtige finansielle

institutter er institutter, der er

så store og vigtige, at det kan

få store konsekvenser for hele

samfundsøkonomien, hvis de

kommer i problemer.

De systemisk vigtige finansiel-

le institutter i Danmark er:

Danske Bank A/S, Nykredit

Realkredit A/S, Jyske Bank

A/S, Nordea Kredit Realkre-

ditaktieselskab, Sydbank A/S,

Spar Nord Bank A/S, DLR

Kredit A/S og A/S Arbejder-

nes Landsbank.

Indberetning af it-sikker-

hedshændelser

5. Finanstilsynet skal ifølge loven tilrettelægge tilsynsvirksomheden ud fra et væsent-

lighedshensyn, hvor den tilsynsmæssige indsats står i forhold til de potentielle risici el-

ler skadevirkninger. Dette indebærer bl.a., at Finanstilsynet skal føre et intensiveret til-

syn med de systemisk vigtige finansielle institutter. Tilsynet foregår dels ved inspektio-

ner, dels på grundlag af de løbende indberetninger af it-sikkerhedshændelser fra virk-

somhederne.

Tilsynet med finansielle virksomheders it-sikkerhedsstyring

6. Ifølge lov om finansiel virksomhed skal finansielle virksomheder have betryggende

kontrol- og sikringsforanstaltninger på it-området. Finanstilsynet har i loven hjemmel

til at fastlægge, hvilke foranstaltninger en finansiel virksomhed skal træffe for at have

effektive former for virksomhedsstyring på it-området. Dette har Finanstilsynet gjort i

bekendtgørelse om finansielle virksomheders ledelse og styring, jf. boks 1.

Finansielle virksomheder, der

er omfattet af krav til it-sikker-

hed, skal indberette kritiske

hændelser til Finanstilsynet.

Derudover skal finansielle

virksomheder, der udbyder

betalingstjenester, underrette

Finanstilsynet om større hæn-

delser, der kan påvirke sikker-

heden eller driften. Endelig

skal finansielle virksomheder,

der er operatører af væsent-

lige tjenester, underrette Fi-

nanstilsynet og Center for Cy-

bersikkerhed om hændelser,

der har væsentlige konse-

kvenser for kontinuiteten af

de væsentlige tjenester, som

de leverer.

Boks 1

Krav til finansielle virksomheders it-sikkerhedsstyring

Kravene fastlægger bestyrelsens og direktionens opgaver og ansvar i forhold til it-sikker-

hed.

Det er bestyrelsens opgave at beslutte en it-sikkerhedspolitik ud fra den ønskede risiko-

profil på området. Bekendtgørelsen oplister en lang række forhold, som det fx kan være

relevant at tage stilling til, bl.a. risikovurdering, beskyttelse af systemer, overholdelse af

relevant lovgivning og fastsættelse af forholdsregler i tilfælde af brud på it-sikkerheds-

regler.

Direktionens opgave er at udarbejde procedurer, der sikrer, at politikken efterleves. Pro-

cedurerne skal bl.a. understøtte ansvar, kontrol, dokumentation, tests, adgangskontrol/

fysisk sikkerhed samt udarbejdelse og afprøvning af en beredskabsplan.

Kilde:

Bekendtgørelse nr. 1026 af 30. juni 2016, bilag 5 med senere ændringer, og bekendtgørelse

nr. 1723 af 16. december 2015, bilag 4 med senere ændringer.

Rigsrevisors notater til Statsrevisorerne 2023 nr. 5: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed

Ifølge Finanstilsynets oplysninger er der i alt 332 finansielle virksomheder og fælles

datacentraler, der skal leve op til kravene vedrørende it-sikkerhed. Hvis tilsynet viser,

at der er mangler i de finansielle virksomheders it-sikkerhed, kan Finanstilsynet give

påbud eller bøder.

Statsrevisorernes spørgsmål

Fælles datacentraler

7. Statsrevisorerne har anmodet Rigsrevisionen om at besvare følgende spørgsmål:

•

Fælles datacentraler er virk-

somheder, hvis primære akti-

vitet er at varetage it-driftsop-

gaver eller it-udviklingsopga-

ver for flere finansielle virk-

somheder. Datacentralerne er

overvejende ejet af finansielle

virksomheder.

•

Hvor mange it-tilsyn og it-inspektioner af finansielle virksomheder har Finanstilsy-

net gennemført i perioden 2017-2022?

Hvor mange og hvilke påbud har Finanstilsynet udstedt i den forbindelse, og hvil-

ken virkning har de haft?

Hvilke muligheder har Finanstilsynet for at føre tilsyn med banker i Danmark, som

har adresse/hovedsæde i andre lande, men hvor en stor del af deres kritiske finan-

sielle infrastruktur er placeret i Danmark?

Har Finanstilsynets it-tilsyn og inspektioner været tilfredsstillende i perioden, bl.a.

i forhold til tilsynsfrekvens, rammer for tilsynet, risici og lovens hovedformål?

Hvilke muligheder har kunderne for at blive orienteret om eventuelle it-sikkerheds-

mæssige risici og påbud fra Finanstilsynet i deres pengeinstitut?

8. Vi forventer i hovedsagen at kunne besvare Statsrevisorernes spørgsmål.

III. Tilrettelæggelsen af undersøgelsen

9. Det overordnede formål med undersøgelsen er at vurdere, om Finanstilsynets til-

syn med finansielle virksomheders styring af deres it-sikkerhed er tilfredsstillende.

Dette besvarer Statsrevisorernes spørgsmål 4.

Undersøgelsen vil bestå af 3 dele, herunder en undersøgelse af Finanstilsynets plan-

lægning af it-tilsynet, en undersøgelse af Finanstilsynets gennemførelse af tilsynet og

en undersøgelse af Finanstilsynets opfølgning på tilsynet.

Er Finanstilsynets planlægning af it-tilsynet tilfredsstillende?

Vi vil undersøge, om Finanstilsynet har etableret et tilstrækkeligt videngrundlag og på

baggrund heraf udarbejdet en analyse, så Finanstilsynet kan fokusere indsatsen på

de vigtigste risici og på de virksomheder, hvor konsekvenserne af eventuelle sikker-

hedsbrister er størst. Desuden vil vi besvare Statsrevisorernes spørgsmål 3 om mulig-

heden for at føre tilsyn med banker, som har hovedsæde i andre lande.

Er Finanstilsynets gennemførelse af it-tilsynet tilfredsstillende?

10. Vi vil undersøge omfanget af Finanstilsynets it-tilsyn, herunder Finanstilsynets

overvågning af indberetninger og revisionsprotokollater, it-inspektioner og det even-

tuelle tilsyn med it-sikkerheden, der indgår i det almindelige tilsyn med de finansielle

virksomheder/pengeinstitutter. Vi vil desuden undersøge, om Finanstilsynet gennem-

fører tilsynet på en måde, så eventuelle svagheder i virksomhedernes it-sikkerheds-

styring kan identificeres. Endelig vil vi undersøge, hvor mange påbud Finanstilsynet

har givet. Vi besvarer hermed Statsrevisorernes spørgsmål 1 og 2.

Rigsrevisors notater til Statsrevisorerne 2023 nr. 5: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed

Er Finanstilsynets opfølgning på it-tilsynet tilfredsstillende?

11. Vi vil undersøge, om og hvordan Finanstilsynet følger op på, om virksomhederne

efterlever påbuddene. Hvis dette er tilfældet, vil vi også undersøge, hvad opfølgningen

viser. Resultaterne heraf vil udgøre vores svar på Statsrevisorernes spørgsmål 2 ved-

rørende virkningen af tilsynet, da vi ikke vil være i stand til at undersøge, om tilsynet

direkte resulterer i bedre it-sikkerhed i finansielle virksomheder. Endelig vil vi besvare

Statsrevisorernes spørgsmål 5 om, hvorvidt kunderne har mulighed for at blive orien-

teret om eventuelle it-sikkerhedsmæssige risici og påbud i deres respektive pengein-

stitutter.

12. Undersøgelsen omfatter som udgangspunkt perioden 2017-2022.

13. Rigsrevisionen skal for god ordens skyld understrege, at der undervejs vil kunne

ske ændringer i forhold til det skitserede oplæg.

Birgitte Hansen