Indledning
Finanstilsynet var i perioden oktober 2010 – december 2010 på inspektion i Bank DnB NORD A/S.
Inspektionen var en funktionsundersøgelse, hvor it-sikkerhedsområdet blev gennemgået.
Denne redegørelse offentliggøres efter reglerne i bekendtgørelse om finansielle virksomheders pligt til at offentliggøre Finanstilsynets vurdering af virksomheden.
Sammenfatning og risikovurdering
På inspektionen gennemgik Finanstilsynet bankens it-strategi og it-sikkerhedspolitik, organisatoriske forhold, outsourcing, sikkerhedskopiering, beredskabsplanlægning og systemudvikling.
Finanstilsynet vurderer, at banken på en række områder ikke overholder de lovgivningsmæssige krav til it-sikkerhed for finansielle virksomheder.
Banken havde ikke en ajourført it-sikkerhedspolitik og nogle centrale forretningsgange i relation til it-sikkerhedspolitikken er ikke fuldt implementeret Banken har ikke sikret sig et tilstrækkeligt juridisk grundlag for kontrollen med hovedleverandøren og rapporteringsfrekvensen fra denne. Banken har endvidere et mangelfuldt it-beredskab.
Finanstilsynet har i forbindelse med inspektionen givet banken påbud om at foretage en risikovurdering på det it-sikkerhedsmæssige område og udarbejde en it-sikkerhedspolitik baseret på en aktuel risikovurdering. Der er også givet påbud om, at bankens retningslinjer for outsourcing skal følge lovgivningen på området, samt at banken skal udarbejde en it-beredskabsplan.