Indledning
Finanstilsynet var i august 2014 på funktionsundersøgelse på it-området hos Danske Bank koncernen omfattende Danske Bank A/S samt Realkredit Danmark A/S.
Finanstilsynet gennemgik udvalgte dele af it-området, herunder it-strategi og sikkerhedspolitik, organisation, retningslinjer, adgang til systemer og data, it-beredskab og koncernens styring af outsourcede it-funktioner samt kontroller og rapportering vedrørende it-sikkerhed.
Sammenfatning og risikovurdering
Finanstilsynet vurderer på baggrund af inspektionen, at koncernens it-sikkerhedsstyring, organisation og samlede risikohåndtering på ovenstående områder overordnet set er tilrettelagt på et tilfredsstillende niveau.
Finanstilsynet har dog påbudt Danske Bank koncernen at styrke kontrol og opfølgning vedrørende anvendelsen af adgange og rettigheder til systemer og data.
Endvidere er koncernen blevet påbudt at styrke procedurerne for overvågning og ledelsesopfølgning vedrørende delområder i den etablerede it-sikkerhedsstyring. Herunder skal der etableres et dokumenteret og fuldstændigt link i mellem operationelle it-risici og implementerede kontrol- og sikringsforanstaltninger samt procedurer, der sikrer, at kontrol- og sikringsforanstaltningerne på it-området gennemføres rettidigt og fuldstændigt i koncernens it-organisation.