Der var tale om en temaundersøgelse af selskabets håndtering af cyberrisici. Finanstilsynet gennemgik udvalgte dele af IT-området, herunder den overordnede IT-sikkerhedsstyring og de organisatoriske aspekter heraf. Det var således ikke en generel IT-undersøgelse, idet Finanstilsynet ikke har undersøgt og foretaget konklusioner vedrørende samtlige relevante IT-områder.
Undersøgelsen blev gennemført i samarbejde med de svenske, finske og islandske myndigheder, der også fører tilsyn med NASDAQs børsvirksomhed.
Sammenfatning og risikovurdering
Finanstilsynet fandt, at NASDAQ Copenhagen på tidspunktet for inspektionens gennemførelse havde behov for at øge fokus på den overordnede styring og ledelse af håndteringen af IT-sikkerhed. Der var også behov for at sikre, at IT-sikkerhedsmæssige risici – interne såvel som hos tredjepartsleverandører – var tilstrækkeligt synliggjorte og imødegået på tværs af organisationen, herunder hos outsourcingleverandørerne.
I relation til outsourcing af IT-sikkerhedsmæssige funktioner fik selskabet påbud om at efterleve outsourcingbekendtgørelsens bestemmelser om en klar beskrivelse af de krav, som leverandøren skal opfylde, og om en løbende rapportering til bestyrelsen af den nødvendige information.
Herunder skal NASDAQ Copenhagen sikre, at det er muligt for bestyrelsen på et objektivt grundlag at verificere, om den leverede IT-sikkerhed er i overensstemmelse med det ønskede risikotoleranceniveau. Det skal sikres, at bestyrelsen modtager en systematisk og regelmæssig rapportering om IT-sikkerhed fra IT-sikkerhedsafdelingen, så bestyrelsen har tilstrækkelig indsigt til at kontrollere leverandøren og ydelsen.
Finanstilsynet har ligeledes påbudt NASDAQ Copenhagen fremadrettet at sikre, at væsentlige IT-sikkerhedsrisici på tilstrækkelig vis bliver rapporteret til IT-sikkerhedsafdelingen og de andre risikohåndteringsfunktioner i virksomheden.
Finanstilsynet gav endvidere NASDAQ Copenhagen en risikooplysning om, at en uklar og utilstrækkelig adskillelse mellem den interne revisions uafhængige vurderingsfunktion og den operationelle håndtering af IT-sikkerhedsområdet kan føre til svagheder samt mangler og fejl i kravoverholdelsen, risikostyringen og sikringen af de tekniske systemer.
Finanstilsynet gav også en risikooplysning om, at selskabets tekniske beskyttelsesniveau i visse tilfælde ikke var begrundet i en tilstrækkelig risikoanalyse.
Finanstilsynet har noteret sig, at NASDAQ Copenhagen efter inspektionen har igangsat en række initiativer, der adresserer de områder, som Finanstilsynet har haft bemærkninger til. Det er Finanstilsynets vurdering, at initiativerne – hvis de gennemføres som beskrevet – vil adressere de bemærkninger, undersøgelsen har afstedkommet.