Retsudvalget 2015-16
REU Alm.del Bilag 369
Offentligt
1651472_0001.png
Redegørelse om it-inspektion i Nets Danmark A/S
Side 1 af 2
HJEM / TILSYN / VURDERINGER AF FINANSIELLE VIRKSOMHEDER
VURDERING AF FINANSIELLE VIRKSOMHEDER 2015 /
/
OPRETTET: 13. MAJ. 2015
OPDATERET: 13. MAJ. 2015
Redegørelse om it-inspektion i Nets
Danmark A/S
Indledning
Finanstilsynet var med start i efteråret 2014 og henover årsskiftet på funktionsundersøgelse på it-
området hos Nets Danmark A/S (efterfølgende Nets).
Finanstilsynet gennemgik udvalgte dele af it-området, herunder den generelle it-sikkerhedsstyring,
strategi, organisation, beredskabsplaner, sikkerhedspolitikker og retningslinjer. Endvidere gennemgik
Finanstilsynet Nets procedurer for styring af adgange til systemer og data, ændringshåndtering,
kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.
Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at Nets på tidspunktet for inspektionens gennemførsel ikke i
tilstrækkelig grad har implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af
virksomheden. Det er vurderingen, at Nets har betydeligt fokus på efterlevelse af krav og
kontrolstandarder, herunder bl.a. PCI krav, og mindre fokus på at sikre, at it-risici er tilstrækkelig
synliggjorte og imødegået på tværs af Nets samt outsourcing leverandører. Finanstilsynet har i
forbindelse med inspektionen konstateret flere svagheder, hvor ledelsen i Nets fremadrettet skal
sikre, at væsentlige risici er tilstrækkeligt synliggjorte og imødegået.
Finanstilsynet har påbudt Nets i højere grad at sikre, at it-sikkerhedspolitikken tager afsæt i en
dokumenteret it-risikovurdering, samt at ansvar og forventninger mellem direktion og bestyrelse, i
relation til it-sikkerhedsstyringen, rapportering og ledelsesopfølgning, præciseres og implementeres.
Herunder at der etableres øget dokumenteret kontrol med, at it-sikkerhedspolitikken er tilstrækkeligt
implementeret og uddybet i procedurer, forretningsgange og kontroller, samt at Nets styrker it-
sikkerhedsorganisation med klart definerede roller og ansvar for organisering af it-arbejdet.
https://www.finanstilsynet.dk/da/Tilsyn/Vurderinger%20af%20finansielle%20virkso...
16-06-2016
 REU, Alm.del - 2015-16 - Bilag 369: Rapport om kortlægning af beskyttelsen af oplysninger om borgernes elektroniske betalinger m.v.
Redegørelse om it-inspektion i Nets Danmark A/S
Side 2 af 2
Endvidere skal Nets i højere grad sikre, at der etableres tilstrækkelige forretningsgange for it-
risikostyring, herunder øget dokumentation af risici samt imødegående kontrol og
sikringsforanstaltninger på tværs af Nets og dennes leverandører. Finanstilsynet har ligeledes påbudt
Nets at sikre, at der er tilstrækkeligt fokus på at risikovurdere og udbedre svagheder konstateret af
systemrevisionen, samt at disse bliver tilstrækkeligt inddraget i den etablerede it-risikostyring og
ligeledes håndteres tilsvarende.
I relation til outsourcing af it-funktioner skal Nets i højere grad sikre, at it-sikkerhedsrelaterede krav,
kontrol- og sikringsforanstaltninger i kontrakterne modsvarer ledelsens forventninger og beslutninger,
samt at disse er baseret på tilstrækkeligt dokumenteret it-risikogrundlag. Endvidere skal Nets sikre,
at outsourcing-bekendtgørelsens krav om udarbejdelse af interne retningslinjer i relation til
ledelsesopfølgning og bestyrelsesrapportering ved outsourcing af it-opgaver bliver tilstrækkeligt
dokumenteret og efterlevet.
Finanstilsynet har ligeledes påbudt Nets at styrke eksisterende procedurer for administration af
adgange og rettigheder til systemer og data. Bl.a. at der etableres et tilstrækkeligt overblik over
kritiske rettigheder, roller samt kombinationer heraf i og på tværs af systemer, databaser og kritisk
infrastruktur, samt at disse i højere grad overvåges og kontrolleres tilsvarende. Endvidere er Nets
blevet påbudt at styrke procedurer og krav til it-sikkerhedslogning.
Finanstilsynet har konstateret, at Nets har igangsat flere væsentlige forbedringstiltag, der
fremadrettet skal styrke Nets` generelle it-sikkerhedsstyring, og i forlængelse heraf er det
Finanstilsynets vurdering, at de planlagte forbedringstiltag, hvis tilstrækkeligt implementeret,
herunder med fastholdt ledelsesmæssigt fokus og prioritering, vil imødekomme Finanstilsynets
påbud.
https://www.finanstilsynet.dk/da/Tilsyn/Vurderinger%20af%20finansielle%20virkso...
16-06-2016