Tema

IT-tilsyn og datasikkerhed

Et af de grundlæggende formål med den finansielle lovgivning er at sikre den finansielle stabilitet og tillid til de finansielle virksomheder og markeder.

Med afsæt heri indeholder lovgivningen en række krav til finansielle virksomheder, der skal sikre, at virksomhederne drives på en forsvarlig måde, så kunderne kan have tiltro til, at deres midler bliver behandlet forsvarligt, og virksomhederne ikke lider tab som følge af misbrug og kriminalitet.

Den finansielle lovgivnings krav til IT-sikkerhed skal ligeledes ses på denne baggrund.

Finanstilsynets IT-tilsyn har til formål at kontrollere, at lovgivningens krav til IT-sikkerhed er overholdt, herunder at vurdere om virksomheden, ud fra Finanstilsynets risikobetragtninger, virksomhedens egne målsætninger og risikovurderinger mv., har taget stilling til relevante IT-sikkerhedsforhold og på baggrund heraf etableret betryggende kontrol- og sikringsforanstaltninger på IT-området.

Måden, hvorpå Finanstilsynet fører tilsyn med overholdelse af lovgivningen, er bl.a. ved gennemførelse af IT-undersøgelser, løbende overvågning ved at gennemgå revisionsprotokollater og erklæringer, samt ved løbende at tage stilling til IT-sikkerhedshændelse eller lignende som Finanstilsynet bliver gjort bekendt med fra forskellige sider.

Den generelle proces ved IT-undersøgelser

Nedenstående figur illustrer den ofte anvendte proces i forbindelse med Finanstilsynet IT-undersøgelser. Såfremt det vurderes hensigtsmæssigt, kan der med virksomheden aftales mindre justeringen i fremgangsmåden. Finanstilsynet lægger vægt på at skabe dialog med virksomheden tidligt i processen for derved at få drøftet spørgsmål og uklarheder, således at IT-undersøgelsen kan gennemføres med tilfredshed for begge parter, baseret på en klar og gennemsigtig proces.

Billedet viser processen for IT-undersøgelser

Klik på billedet for at få vist det i stor udgave.

Indberetning af IT-sikkerhedshændelser til Finanstilsynet

Her finder du information om kravene til at udbydere af betalingstjenester (A), udpegede operatører af væsentlige tjenester (B) samt virksomheder omfattet af ledelsesbekendtgørelsen (C) skal indberette IT-sikkerhedshændelser til Finanstilsynet.

Læs om kravene

IT-sikkerhedsstyring i finansielle virksomheder

Denne beskrivelse har til formål at give et generelt indblik i nogle af de centrale elementer, som Finanstilsynet har fokus på ved IT-inspektioner i finansielle virksomheder og datacentraler.

Læs om IT-sikkerhedsstyring i finansielle virksomheder