Sammenfatning
Finanstilsynet vurderer, at Saxo Bank har mangler i sin IT-sikkerheds-, IT-risiko- og IT-beredskabsstyring og i IT-revision. Disse mangler indebærer en forhøjet IT-risiko. Finanstilsynet har derfor givet Saxo Bank fire påbud om at sikre en tilstrækkelig styring af områderne.
Saxo Bank har mangler i sin IT-sikkerhedsstyring, da IT-sikkerhedspolitikken ikke tager højde for bankens risikoprofil og ikke indeholder alle relevante forhold. Banken rapporterer ikke på efterlevelse af IT-sikkerhedspolitikken. Manglerne medfører risiko for, at IT-sikkerhedspolitikken ikke afspejler bankens risikoprofil, og at bankens sikkerhedsniveau ikke er som fastsat i politikken. Banken har derfor fået et påbud om at sikre, at bankens IT-sikkerhedsstyring er tilstrækkelig. Det skal ske ved at sikre sammenhæng mellem IT-sikkerhedspolitikken og IT-risikoprofilen, at IT-sikkerhedspolitikken forholder sig til alle relevante forhold, og at banken rapporterer om efterlevelse til bestyrelsen[1].
Saxo Bank har mangler i sin IT-risikostyring, da banken ikke har en tilstrækkelig effektiv risikovurderingsproces. Saxo Bank har ikke haft en ensartet risikostyringsproces og rapportering internt i banken. Manglerne medfører en risiko for, at alle væsentlige risici ikke identificeres og rapporteres tilstrækkeligt. Banken har derfor modtaget et påbud om at sikre, at bankens IT-risikostyring er tilstrækkelig, herunder at IT-risici identificeres og rapporteres tydeligt til direktionen og bestyrelsen[2].
Saxo Bank har mangler i styringen af sit IT-beredskab. Banken har kun udarbejdet forretningskonsekvensanalyser (BIA) for nogle kritiske forretningsprocesser, og analyserne er mangelfulde. Bankens målsætninger for IT-beredskab er ikke afspejlet i bankens IT-arkitektur, da målsætningerne ikke kan overholdes i alle beredskabsscenarier. Banken har også mangler i sin brug af beredskabsscenarier til planlægning og test af forretningskontinuitet og genopretning.
Manglerne i bankens IT-beredskab medfører risiko for, at bankens beredskab ikke er tilstrækkeligt robust til at indfri bestyrelsens målsætninger på området. Konsekvensen er, at der er risiko for, at banken i nogle alvorlige beredskabssituationer vil være utilgængelig for kunderne, længere end banken ønsker det. Banken har derfor modtaget et påbud om at styrke styringen af IT-beredskabet, herunder at målsætninger for IT-beredskabet fastsættes for forretningsprocesser på baggrund af individuelle forretningskonsekvensanalyser, og at bankens IT-arkitektur afspejler de fastsatte målsætninger for IT-beredskabet. Desuden skal banken sikre, at planer for forretningskontinuitet og genopretning inddrager alle relevante ekstreme, men plausible nedbrudsscenarier[3].
Saxo Bank har mangler i sin IT-revision, da bankens interne revision ikke har udført tilstrækkelig revision af IT-sikkerhedsområdet i forhold til områdets væsentlighed og risiko. Banken har derfor fået et påbud om at sikre, at væsentlige og risikofyldte IT-områder revideres[4].
[1] Bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.fl., § 1. stk. 3, jf. bilag 5 nr. 9, 13, 32 og 104.
[2] Bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.fl., § 1. stk. 3, jf. bilag 5 nr. 21, 31 og 106.
[3] Bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.fl., § 1. stk. 3, jf. bilag 5 nr. 9 litra k, 62-63, 89-90 92-94, 98, 100, litra a.
[4] Bekendtgørelse nr. 1912 af 22. december 2015 om revisionens gennemførelse i finansielle virksomheder mv. samt finansielle koncerner § 21, stk. 1