Redegørelse om IT-inspektion i Sydbank A/S

Finanstilsynet har gennemført en IT-inspektion i Sydbank A/S (Sydbank) i juni 2020.

Inspektionen omfattede følgende områder: 

  • IT-risikostyring 
  • T-sikkerhedsstyring, herunder forsvarslinjemodellen 
  • Outsourcing
  • IT-beredskabsstyring 
  • Revisionens gennemførelse

Sammenfatning

Finanstilsynet vurderer, at Sydbank har væsentlige svagheder vedrørende IT-risikostyring og IT-sikkerhedsstyring, hvilket medfører forøget risiko. Sydbank havde forud for inspektionen selv identificeret og igangsat en række forbedringstiltag på IT-området.

Sydbank skal forbedre arbejdet med IT-risikostyring for tilstrækkeligt at kunne vurdere den samlede IT-risikoeksponering og risikomitigerende tiltag. Sydbank skal udarbejde en IT-risikostyringspolitik og sikre, at denne bliver tilstrækkeligt forankret på tværs af virksomheden. I forlængelse heraf skal Sydbank sikre tilstrækkelige ressourcer og kompetencer i både 1. og 2. forsvarslinje. Finanstilsynet har givet påbud om at afhjælpe de deraf afledte mangler.

Sydbank skal forbedre IT-sikkerhedsstyringen og sikre, at denne bygger på et tilstrækkeligt dokumenteret grundlag. Finanstilsynet har givet påbud om, at Sydbank skal sikre tilstrækkelig kontrol med efterlevelsen af IT-sikkerhedspolitikken, herunder sikre at der udarbejdes de nødvendige forretningsgange, samt at disse er fyldestgørende og bliver efterlevet. Dette for at kunne mitigere eventuelle brud på IT-sikkerheden og dermed sikre, at Sydbank opererer indenfor bestyrelsens fastsatte krav. Brud på IT-sikkerheden kan både have alvorlige økonomiske og omdømmemæssige konsekvenser.

Sydbank skal forbedre IT-beredskabsstyringen og sikre, at der er taget tilstrækkelig stilling til relevante beredskabsscenarier som for eksempel korrumperet data. Disse scenarier skal testes for at sikre, at banken har tilstrækkelig overbevisning om, at den kan komme tilbage til normaldrift i tilfælde af en beredskabssituation. Det skal endvidere sikres, at relevante leverandører efterlever fastsatte krav, så Sydbank kan gennemføre sine beredskabsplaner i beredskabssituationer. Finanstilsynet har givet påbud om, at Sydbank skal forbedre IT-beredskabsstyringen.

Sydbank har mangler i forhold til efterlevelsen af bekendtgørelse om outsourcing af væsentlige aktivitetsområder, nr. 1304 af 25/11/2010. I forhold til at bekendtgørelse om outsourcing for kreditinstitutter m.v. nr. 877 af 12/06/2020 er trådt i kraft, er Sydbank blevet gjort opmærksom på mangler, der skal inddrages i arbejdet med efterlevelsen af denne bekendtgørelse.