Inspektionen omfattede virksomhedens organisering af IT-sikkerheds- og IT-risikostyringsområdet samt virksomhedens IT-sikkerhedspolitik, herunder kontrol med efterlevelse af politikken. Desuden omfattede inspektionen virksomhedens forretningsgange for IT-risikostyring, IT-risikoprofil og rapportering af IT-risici.
Inspektionen har ikke givet anledning til tilsynsreaktioner.