Inspektionen omfattede følgende områder:
- Styring af IT-sikkerhed
- Styring af IT-risiko
- Styring af IT-beredskab
Sammenfatning
Finanstilsynet vurderer, at Spar Nord Bank A/S (herefter Spar Nord / banken) har grundlæggende mangler i sin styring af de tre undersøgte områder, IT-sikkerhed, IT-risiko og IT-beredskab. Disse forhold medfører forhøjet IT-risiko i banken.
Spar Nord havde før inspektionen selv identificeret en række mangler på IT-sikkerhedsområdet. Banken havde igangsat et IT-sikkerhedsprogram med henblik på udbedring af disse.
Inspektionen har imidlertid vist, at initiativerne i programmet ikke er tilstrækkelige til at udbedre de mangler, som inspektionen har afdækket.
Finanstilsynet har givet Spar Nord en række påbud for at udbedre manglerne.
For det første skal Spar Nord sikre en tilstrækkelig styring af sin IT-sikkerhed. Det indebærer bl.a., at banken skal forbedre sine IT-sikkerhedskontroller, så de modsvarer bankens risici, og måle på bankens IT-sikkerhedsniveau. Banken skal grundlæggende forbedre sin IT-risikostyring for at kunne opnå et tilstrækkeligt IT-sikkerhedsniveau.
For det andet skal Spar Nord sikre, at dens IT-risikoprofil er retvisende og rapporteres, så bestyrelsen bliver oplyst om, hvorvidt bankens IT-risikoeksponering stemmer overens med dens risikotolerance. Det er en forudsætning for, at bestyrelsen får et tilstrækkeligt beslutningsgrundlag i forhold til bankens IT-sikkerhed.
For det tredje skal Spar Nord styrke sit IT-beredskab. Banken skal fastsætte målsætninger for IT-beredskabet baseret på analyser af konsekvenserne af nedbrud for både forretningen og for det finansielle system. Banken skal implementere og teste et IT-beredskab, som gør det muligt at nå de fastsatte beredskabsmålsætningerne.
Spar Nord skal desuden udarbejde en funktionsbeskrivelse for IT-risikostyringsfunktionen.
Således er de identificerede svagheder samlet set grundlæggende og alvorlige, jf. ovenfor. Det bemærkes i den forbindelse, at IT-inspektioner i andre større pengeinstitutter og datacentraler i de senere år også har påvist grundlæggende og alvorlige svagheder.
Spar Nords solvensbehov var den 30. juni 2021 opgjort til 9,6 pct. Banken havde i opgørelsen ikke fuldt ud taget højde for manglerne i bankens styring af IT-sikkerhed, IT-risiko og IT-beredskab. Inspektionen førte derfor til en forhøjelse af solvensbehovet med 85 mio. kr. svarende til 0,1 procentpoint.