Siden 2018 har Finanstilsynet vurderet, at it-sikkerhed er et af de væsentligste risikoområder for den finansielle sektor og Center for Cybersikkerhed har vurderet, at trusselsniveauet mod den danske finansielle sektor er meget højt. Undersøgelsen, som Statsrevisorerne har anmodet om, har til formål at vurdere, om Finanstilsynet har ført et tilfredsstillende tilsyn med finansielle virksomheders it-sikkerhed. 

Statsrevisorerne har behandlet Beretning om Finanstilsynets it-tilsyn på deres møde den 13. maj 2024. Statsrevisorerne finder Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed utilfredsstillende. Det utilfredsstillende tilsyn øger risikoen for it-nedbrud, økonomiske tab og tab af tillid fra kunder og omverden.
Statsrevisorerne finder det bekymrende, at Finanstilsynet ikke har inspiceret it-sikkerheden i en tredjedel af de systemisk vigtige finansielle virksomheder inden for det 4-årige interval, som de skal ifølge deres retningslinjer. Der er i gennemsnit gået 4½ år mellem inspektionerne, og for nogle af virksomhederne er der gået over 7 år.

Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresultater:

• Finanstilsynet har stort set ikke risikovurderet it-sikkerheden for investeringsforvaltningsselskaber og heller ikke for de e-penge- og betalingsinstitutter og datacentraler, der ikke er systemisk vigtige. 
• På områder som fx adgangsstyring og fysisk sikkerhed har Finanstilsynet ikke gennemført it-inspektioner i flere år, selv om Finanstilsynet selv vurderer, at en del virksomheder har høje risici på områderne.
• Finanstilsynet har kun i meget begrænset omfang inspiceret investeringsforvaltningsselskaber samt e-penge- og betalingsinstitutter. Den begrænsede inspektion er sket uden foregående risikovurdering af it-sikkerheden i virksomhederne. Finanstilsynet har derfor ikke haft et grundlag for at vide, om fravalget af tilsyn med it-sikkerheden er hensigtsmæssigt.
• Finanstilsynet har fastsat frister for virksomhedernes efterlevelse af påbud om at rette op på mangler i deres it-sikkerhed. Virksomhederne har i gennemsnit overskredet fristerne med 2 år, og Finanstilsynet har aldrig anvendt deres hjemmel til at sanktionere virksomheder, der ikke efterlever de påbud, de har fået.
• Finanstilsynet har ikke udstedt administrative bødeforlæg til virksomheder, som overtræder reglerne for it-sikkerhed, eller som ikke efterlever Finanstilsynets påbud inden for fristen. Dette skyldes ifølge Finanstilsynet, at bødesatserne ved administrative bødeforlæg er så små, at bøderne kun kan gives for overtrædelser, der kan karakteriseres som bagatelagtige.
  
   

Se hele beretningen her
Se kort Fortalt her

Deltagere i statsrevisormødet:
Mette Abildgaard (KF), Leif Lahn Jensen (S), Mikkel Irminger Sarbo (RV), Serdal Benli (SF), Monika Rubin (M), Lars Christina Lilleholt (V)