Sagsfremstilling:
En fælles datacentral spurgte Finanstilsynet om systemrevisionserklæringen, jf. systemrevisionsbekendtgørelsen, dækker aftaler om den enkelte finansielle virksomheds kontrol med centralens overholdelse af virksomhedens it-sikkerhedspolitik, jf. pkt. 6.1 i vejledning om kontrol- og sikringsforanstaltninger på it-området i henhold til lov om finansiel virksomhed § 15, stk. 1, nr. 4. Baggrunden var en anmodning fra en finansiel virksomhed, der har outsourcet sin it-drift til datacentralen, om en ledelseserklæring, hvor centralen skulle erklære om den til fulde understøtter virksomhedens it-sikkerhedspolitik.
Afgørelse/Begrundelse:
Det fremgår af pkt. 6.1 i Finanstilsynets vejledning om kontrol- og sikringsforanstaltninger på it-området i henhold til lov om finansiel virksomhed § 15, stk. 1, nr. 4, at "Ved outsourcing af it-funktioner skal virksomheden sikre sig, at leverandøren overholder dens it-sikkerhedspolitik og sikkerhedsregler. Der skal endvidere aftales procedurer, hvorefter virksomheden regelmæssigt kan kontrollere dette."
Finanstilsynets udtalte, at kontrolfunktioner kun i begrænset omfang kan outsources. Praktiske undtagelser fritager ikke outsourcende virksomheder fra at gennemføre de væsentligste kontrolopgaver. Ansvaret for kontrollernes gennemførelse kan ikke outsources, og isolerede ledelseserklæringer til kontrol af leverandørers overholdelse af outsourcende virksomheders it-sikkerhedspolitik kan ikke erstatte deres egen kontrol.
Om systemrevisionserklæringen, jf. systemrevisionsbekendtgørelserne, meddelte Finanstilsynet, at konklusionen om datacentralens samlede data-, system- og driftsikkerhed er det centrale element i erklæringerne. De øvrige punkter omtaler alene forhold, der understøtter grundlaget for konklusionen.
Erklæringen vil almindeligvis vedrøre datacentralens generelle it-sikkerhedsmæssige forhold, som ikke direkte kan kontrolleres udefra af de tilsluttede virksomheder. Den kan ikke omfatte samtlige kontroller af overholdelsen af de tilsluttede virksomheders it-sikkerhedspolitik og dermed ikke erstatte de aftalte kontrolprocedurer ifølge § 15 vejledningens punkt 6.1.
Den enkelte tilsluttede finansielle virksomhed skal sikre, at der aftales procedurer, hvorefter den selvstændigt kan sikre, at datacentralen overholder dens it-sikkerhedspolitik. Virksomheden kan ikke sikre dette ved alene at bygge på outsourcede kontroller.