Finanstilsynet vurderer, at BEC har grundlæggende mangler i sin risiko- og sikkerhedsstyring på IT-området. Manglerne indebærer, at BEC og BEC’s kunder har en forøget risiko på IT-området.
Finanstilsynet har undersøgt, om BEC’s arbejde med en ny risikostyringsmodel vil gøre BEC i stand til at udarbejde en tilfredsstillende IT-risikovurdering og til at vurdere, i hvilken grad BEC efterlever sin IT-sikkerhedspolitik.
BEC har i en længere periode arbejdet med at implementere den nye risikostyringsmodel. Finanstilsynet vurderer dog, at BEC endnu ikke har de nødvendige forudsætninger til at kunne gennemføre en tilfredsstillende IT-risikovurdering. F.eks. har BEC endnu ikke fastlagt væsentlige metodedele.
BEC har fået to påbud. For det første skal BEC sikre, at datacentralens IT-risiko styres tilstrækkeligt. Forudsætningen herfor er bl.a. tilstrækkelige metodekrav til identificering af de IT-risici, der knytter til BEC’s processer, aktiviteter, tjenester, systemer og data.
For det andet skal BEC sikre, at datacentralens IT-sikkerhed styres tilstrækkeligt, så BEC’s IT-sikkerhedspolitik modsvarer BEC’s risikotolerance og IT-risici. Det kræver bl.a., at der skal være en tydelig sammenhæng mellem risici og de krav og kontroller, som imødegår/mitigerer risikoen til et acceptabelt niveau.