Finanstilsynet vurderer, at Nykredits nuværende organisering på IT-sikkerhedsområdet ikke sikrer en tilstrækkelig funktionsadskillelse. Det gælder mellem første og anden forsvarslinje, hvor IT-sikkerhedsfunktionen er en del af første forsvarslinje, men samtidig udfører rollen som IT-risikostyringsfunktion i anden forsvarslinje på vegne af risikostyringsfunktionen. Den valgte organisering indebærer en utilstrækkelig strukturel robusthed, som ikke modsvarer den fortsat stigende risiko på IT-sikkerhedsområdet. Det medfører en risiko for, at IT-risici ikke styres tilstrækkeligt, og at effektiviteten af IT-sikkerheds- og IT-risikostyringen er afhængig af enkeltpersoner, samt at en udskiftning af disse kan få betydelig negativ indvirkning.
På den baggrund har Finanstilsynet påbudt Nykredit at styrke den organisatoriske uafhængighed mellem henholdsvis første og anden forsvarslinje på IT-sikkerhedsområdet.