It-hændelsesrapportering for finansielle virksomheder og fælles datacentraler

Finanstilsynet forventer at blive orienteret om væsentlige it-hændelser hos finansielle virksomheder og fælles datacentraler.

Hvornår vil Finanstilsynet gerne orienteres?

Det er som udgangspunkt virksomheden selv, som vurderer, hvornår noget er væsentligt. Dog er der nogle klare indikatorer, hvor Finanstilsynet umiddelbart vurderer, at tilsynet bør orienteres. Nedenstående forhold kan have betydning for Finanstilsynet og bør derfor inkluderes i virksomhedens vurdering.
• Hændelsen har potentiale til at udvikle sig til en katastrofesituation, der involverer gældende kriseberedskab.
• Hændelsen påvirker/kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf.
• Hændelsen kan give anledning til politianmeldelse .
• Virksomheden nedsætter en særlig ”task force” for at behandle hændelsen.
• Mistanke om at tredjemand har haft adgang til fortroligt data.
• Hændelsen kan give anledning til kundeklager af principiel karakter.
• Alvorlige hændelser der kan påvirke fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer samt længerevarende it-hændelser, der påvirker virksomhedens generelle it-drift og serviceleverancer.
• It-hændelser som kan føre til negativ presseomtale for den pågældende virksomhed,

Hvordan ønsker Finanstilsynet at blive orienteret?

Finanstilsynet ønsker information om it-sikkerhedshændelser og it-nedbrud hurtigst muligt under hensynstagen, til, at årsagsafklaring samt problemløsning af den specifikke hændelse har første prioritet.

Proces for orientering af it-tilsynet:
1. it-tilsynet orienteres kort pr. telefon med efterfølgende skriftlig redegørelse (kort redegørelse der i overordnede termer beskriver den registrerede hændelse).
2. Når hændelsen er analyseret, fremsendes hændelsesrapporten til it-tilsynet.

It-tilsynet vil afhængigt af hændelsens art og karakter vurdere, om der i forlængelse af fremsendte hændelsesrapport er behov for yderligere redegørelse.

Kontaktoplysninger til it-tilsynet:

Ved telefonisk orientering se kontaktinfo i kontaktboksene ovenfor. 

Skriftlig orientering

Når Finanstilsynets it-tilsyn orienteres, er der flere valgmuligheder for kommunikation, alt afhængigt af om der er tale om generel eller fortroligt information: 

- Direkte til it-tilsynet via ITincidents@ftnet.dk. (OBS: Denne e-mail er ikke krypteret)

- Til Finanstilsynet hovedpostkasse Finanstilsynet@ftnet.dk. Det bedes fremgå, at det vedrører it-tilsynet og skal videresendes til ITincidents@ftnet.dk (Finanstilsynets certifikat til sikker post kan hentes på http://www.certifikat.dk)

- Med post til Finanstilsynet ATT: Finanstilsynet - it-tilsynet, Århusgade 110. 2100 København Ø