Redegørelse om IT-inspektion hos DLR Kredit A/S

29-04-2022

Finanstilsynet gennemførte en IT-inspektion hos DLR Kredit A/S (herefter DLR Kredit/instituttet) i efteråret 2021.

 

Inspektionen omfattede følgende områder: 

  • IT-sikkerhedsstyring
  • IT-risikostyring

Sammenfatning

Finanstilsynet vurderer, at DLR Kredit har mangler i sin IT-sikkerhedsstyring og IT-risikostyring. Disse mangler medfører en risiko for, at DLR Kredit overser relevante IT-risici, og at instituttets ledelse ikke har et tilstrækkeligt beslutningsgrundlag på IT-sikkerhedsområdet. 

Finanstilsynet har givet DLR Kredit en række påbud for at udbedre manglerne.

DLR Kredits forsvarslinjer har ikke et tilstrækkeligt fokus på IT-sikkerhedsområdet. Det skyldes blandt andet, at anden og tredje forsvarslinjes kontrolaktiviteter ikke tilstrækkeligt modsvarer de risici, der er på området. Derudover mangler DLR Kredit at fastlægge klare målsætninger for sin IT-sikkerhed samt at sikre, at kravene i instituttets IT-sikkerhedspolitik modsvarer instituttets IT-risici. På den baggrund har Finanstilsynet påbudt DLR Kredit at sikre en tilstrækkelig styring af sin IT-sikkerhed.

DLR Kredit har ikke sikret, at IT-risici bliver styret tilstrækkeligt og på en ensartet måde på tværs af instituttet og dets leverandører. DLR Kredit dokumenterer derudover ikke sin IT-risikostyringsproces tilstrækkeligt. Dertil kommer, at DLR Kredits anden forsvarslinje ikke i tilstrækkelig grad kvalitetssikrer alle relevante dele af IT-risikostyringsprocessen, herunder identifikation, vurdering, håndtering, overvågning og rapportering af IT-risici. På den baggrund har Finanstilsynet påbudt DLR Kredit at styrke sin IT-risikostyring.

Ovenstående mangler i DLR Kredits IT-sikkerhedsstyring og IT-risikostyring medfører en risiko for, at ledelsen ikke får et tilstrækkeligt billede af instituttets reelle IT-sikkerhedsniveau og IT-risikoeksponering. Dertil kommer, at Finanstilsynet har fundet eksempler på IT-risici, som ikke er rapporteret tydeligt til ledelsen. På den baggrund har Finanstilsynet påbudt DLR Kredit at sikre en forbedret ledelsesrapportering på IT-sikkerhedsområdet. 

 

 

Senest opdateret 29-04-2022