Finanstilsynets IKT-tilsyn har til formål at kontrollere, at kravene i DORA-forordningen og lov om finansiel virksomheds krav til IKT- og datasikkerhed er overholdt, herunder at vurdere om virksomheden, ud fra Finanstilsynets risikobetragtninger, virksomhedens egne målsætninger og risikovurderinger mv., har taget stilling til relevante IKT- og datasikkerhedsforhold og på baggrund heraf etableret betryggende kontrol- og sikringsforanstaltninger på IKT-området.
Måden, hvorpå Finanstilsynet fører tilsyn med overholdelse af kravene er bl.a. ved gennemførelse af IKT-undersøgelser, løbende overvågning ved bl.a. at gennemgå rapporter om rammen for IKT-risikostyring, revisionsprotokollater og erklæringer, samt ved løbende at tage stilling til IKT-sikkerhedshændelser eller lignende som Finanstilsynet bliver gjort bekendt med fra virksomhedernes indberetning og forskellige sider.
Den generelle proces ved IKT-undersøgelser
Nedenstående figur illustrer den ofte anvendte proces i forbindelse med Finanstilsynet IKT-undersøgelser. Såfremt det vurderes hensigtsmæssigt, kan der med virksomheden aftales mindre justeringen i fremgangsmåden. Finanstilsynet lægger vægt på at skabe dialog med virksomheden tidligt i processen for derved at få drøftet spørgsmål og uklarheder, således at IKT-undersøgelsen kan gennemføres med tilfredshed for begge parter, baseret på en klar og gennemsigtig proces.
Klik på billedet for at få vist det i stor udgave .