Redegørelse om IT-inspektion i e-nettet A/S

11-04-2022

Finanstilsynet har gennemført en IT-inspektion i e-nettet A/S (herefter e-nettet) i efteråret 2021. Inspektionen blev gennemført som led i det løbende tilsyn med e-nettet som fælles datacentral. Inspektionen omfattede e-nettets generelle IT-sikkerhedsstyring og IT-risikostyring samt rapporteringen herom til e-nettets bestyrelse.

Finanstilsynet vurderer, at der er en øget risiko for, at e-nettet ikke får afdækket alle relevante risici og ikke har et tilstrækkeligt grundlag for at vurdere sin IT-risikoeksponering korrekt, samt at bestyrelsesrapporteringen ikke giver et korrekt og dækkende billede af e-nettets sikkerhedsniveau og IT-risikoeksponering. Dette skyldes, at e-nettet mangler at formalisere strukturer og metoder.

e-nettet blev den 6. marts 2020 omfattet af reglerne som fælles datacentral og har siden da arbejdet på at kunne opfylde kravene hertil. Finanstilsynets IT-inspektion viser, at e-nettet har en række grundlæggende mangler i sin styring af IT-sikkerhed og IT-risiko, men at e-nettet er i proces med at løse mange af dem. Resultaterne af IT-inspektionen peger dog på, at der er mangler, som e-nettet ikke var i proces med at løse, og som e-nettet også skal være opmærksom på at udbedre i sit fremadrettede arbejde.

Finanstilsynet har givet e-nettet en række påbud for at udbedre manglerne.

e-nettet skal sikre funktionsadskillelse mellem første og anden forsvarslinje, herunder at anden forsvarslinje har en direkte og uafhængig rapporterings- linje til direktion og bestyrelse. Datacentralen skal desuden forbedre eksisterende funktionsbeskrivelser for de centrale roller i IT-sikkerheds- og risikostyringen.
 
Desuden skal e-nettet sikre, at dens IT-risikoprofil er retvisende og rapporteres, så bestyrelsen bliver oplyst om, hvorvidt e-nettets IT-risikoeksponering stemmer overens med den af bestyrelsen besluttede risikotolerance. Det er en forudsætning for, at bestyrelsen får et tilstrækkeligt beslutningsgrundlag i forhold til e-nettets IT-sikkerhed.

Endelig skal e-nettet forbedre sin generelle styring af IT-sikkerhed. Det indebærer bl.a., at e-nettet skal forbedre sine IT-sikkerhedskontroller og følge op på kontrollernes effektivitet med henblik på at måle og rapportere på e-nettets IT-sikkerhedsniveau.

Senest opdateret 11-04-2022