Inspektionen omfattede virksomhedens governance på området, beredskabsmålsætninger, beredskabsplanlægning herunder krav til backup samt test af beredskabet.
Sammenfatning
Finanstilsynet vurderer, at VP Securities har mangler i sin organisering på IT-sikkerhedsområdet og i virksomhedens IT-beredskab. Disse forhold medfører en forøget operationel risiko for virksomheden. Finanstilsynet har givet VP Securities påbud for at udbedre manglerne.
VP Securities har ikke sikret, at der er tilstrækkelig uafhængighed mellem første og anden forsvarslinje på IT-sikkerhedsområdet, herunder ift. virksomhedens IT-beredskab. Finanstilsynet har derfor påbudt VP Securities at sikre uafhængighed mellem første og anden forsvarslinje på IT-sikkerhedsområdet.
VP Securities’ processer og metode til at styre sit IT-beredskab har mangler. VP Securities har ikke sikret, at virksomhedens IT-beredskab er tilstrækkeligt vedligeholdt samt understøttet af forretningsgange. Derudover har VP Securities ikke sikret, at virksomhedens metode til at styre sit IT-beredskab skaber en tydelig sammenhæng på tværs af beredskabsplanlægningen og -rapporteringen, herunder at alle væsentlige risikoscenarier adresseres af IT-beredskabet. På den baggrund har Finanstilsynet påbudt VP Securities at sikre, at virksomhedens IT-beredskab vedligeholdes og understøttes af opdaterede forretningsgange, der sikrer sammenhæng på tværs.