Beretning om Finanstilsynets it-tilsyn

13-05-2024
Beretning

Beretning nr. 14/2023

Beretningen handler om Finanstilsynets it-tilsyn. 

Formålet med undersøgelsen er at vurdere, om Finanstilsynet har ført et tilfredsstillende tilsyn med finansielle virksomheders it-sikkerhed. Rigsrevisionen besvarer følgende spørgsmål i beretningen: 

  • Har Finanstilsynet tilrettelagt it-tilsynet tilfredsstillende?
  • Har Finanstilsynet gennemført it-tilsynet tilfredsstillende?
  • Har Finanstilsynet understøttet, at it-tilsynet får størst mulig virkning? 

Rigsrevisionen vurderer, at Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed ikke er tilfredsstillende. Konsekvensen er, at der er risiko for, at virksomhedernes it-sikkerhed ikke er tilstrækkelig til at forhindre brud på it-sikkerheden til skade for kunderne og samfundet. 

Rigsrevisionen har igangsat undersøgelsen i april 2023 på baggrund af en anmodning fra Statsrevisorerne.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 13. maj 2024 behandlede Statsrevisorerne

Beretning nr. 14/2023 om Finanstilsynets it-tilsyn

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Statsrevisorerne har anmodet om denne undersøgelse af, om Finanstilsy­net har ført et tilfredsstillende tilsyn med finansielle virksomheders it-sikkerhed. 

Finanstilsynet skal føre tilsyn med virk­som­hed­erne i den finansielle sektor. Tilsynet omfatter bl.a. til­syn med it-sikker­hed. Siden 2018 har Fi­nans­til­synet vurderet, at it-sikkerhed er et af de væsentligste risikoområ­der for den finansielle sektor, og Center for Cybersikkerhed har vurde­ret, at trus­sels­niveau­et mod den danske finansielle sektor er meget højt. 

Finanstilsynet er fuldt finansieret af afgifter fra de virksomheder, der er underlagt tilsynet. I 2023 udgjorde udgifterne til Finanstilsynet 465,5 mio. kr. Der er i alt ca. 325 finansielle virksomheder, som er underlagt Finans­tilsy­nets it-tilsyn. 

Statsrevisorerne finder Finanstilsynets tilsyn med finansielle virksomheders it-sikkerhed utilfredsstillende. Det utilfredsstill­ende tilsyn øger risikoen for it-nedbrud, økonomiske tab og tab af tillid fra kunder og omverden. 

Statsrevisorerne finder det bekymrende, at Finanstilsynet ikke har inspiceret it-sikkerheden i en tredjedel af de systemisk vigtige finansi­el­le virksomheder inden for det 4-årige interval, som de skal ifølge deres retningslinjer. Der er i gennemsnit gået 4½ år mellem inspektionerne, og for nogle af virksomhederne er der gået over 7 år.

Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresulta­ter: 

  • Finanstilsynet har stort set ikke risikovurderet it-sikkerheden for investeringsforvaltningsselskaber og heller ikke for de e-penge- og betalingsinstitutter og datacentraler, der ikke er systemisk vigtige.
  • På områder som fx adgangsstyring og fysisk sikkerhed har Finanstilsynet ikke gennemført it-inspektioner i flere år, selv om Finanstilsynet selv vurderer, at en del virksomheder har høje risici på områderne.
  • Finanstilsynet har kun i meget begrænset omfang inspiceret investe­rings­forvaltningsselskaber samt e-penge- og betalingsinstitutter. Den begrænsede inspektion er sket uden foregående risikovurde­ring af it-sikkerheden i virksomhederne. Finanstilsynet har derfor ikke haft et grundlag for at vide, om fravalget af tilsyn med it-sikker­he­den er hensigtsmæssigt.
  • Finanstilsynet har fastsat frister for virksomhedernes efterlevelse af påbud om at rette op på mangler i deres it-sikkerhed. Virksomhed­er­ne har i gennemsnit overskredet fristerne med 2 år, og Finans­til­synet har aldrig anvendt deres hjemmel til at sanktionere virksom­hed­er, der ik­ke efterlever de påbud, de har fået.
  • Finanstilsynet har ikke udstedt administrative bødeforlæg til virksomheder, som overtræder reglerne for it-sikkerhed, eller som ikke efterle­ver Finanstilsynets påbud inden for fristen. Dette skyldes ifølge Finanstilsynet, at bødesatserne ved administrative bødeforlæg er så små, at bøderne kun kan gives for overtrædelser, der kan karakteriseres som bagatelagtige. 

Statsrevisorerne kan tilslutte sig Rigsrevisionens anbefaling om, at Finans­­tilsynet supplerer offentliggørelsen af påbud med en vurdering af, hvilke konsekvenser virksomhedernes utilstrækkelige it-sikkerhed kan have for kunderne, så de kan se det i de offentlige redegørelser. 

Statsrevisorerne anbefaler, at Finanstilsynet skærper praksis for anvendel­­­se af sanktioner over for virksomheder, der ikke efterlever lovkravene til it-sikkerhed eller overskrider fristerne for efterlevelse af påbud."

Beretningshistorik