Sammenfatning
Finanstilsynet vurderer, at Nets’ kommunikationsstrategi ikke har været tilstrækkelig til at sikre, at alle kunder (erhvervsdrivende) og samarbejdspartnere (andre finansielle virksomheder) rettidigt har modtaget den nødvendige information om hændelsen. Den har ligeledes ikke været tilstrækkelig til at sikre, at der skete en tilstrækkelig generel information af den bredere offentlighed, eksempelvis gennem medierne.
Kommunikationsstrategi
En finansiel virksomhed skal have en kommunikationsstrategi i tilfælde af større IT-hændelser, der sikrer, at konsekvenserne af hændelsen bliver kommunikeret til kunder og samarbejdspartnere samt til den bredere offentlighed, hvor det er relevant. Strategien skal sikre, at virksomheden både har en kommunikationsplan, processer, kontroller og de nødvendige ressourcer til at gennemføre en ansvarlig kommunikation, uanset hvornår en IT-hændelse indtræffer.[1]
Finanstilsynet vurderer, at Nets’ kommunikationsstrategi ikke har været tilstrækkelig, da Nets i forbindelse med hændelsen ikke kommunikerede klart til alle kunder og samarbejdspartnere eller til offentligheden generelt om hændelsen og dens konsekvenser. Denne kommunikation burde være foretaget snarest muligt, efter Nets blev bekendt med, at konsekvenserne af hændelsen var så vidtrækkende, som de var.
Afbødende foranstaltninger
Kommunikationsstrategien skal også sikre, at kunder, samarbejdspartnere og den bredere offentlighed, hvor relevant, bliver informeret om, hvordan de bedst kan agere for at begrænse de negative konsekvenser af hændelsen.[2]
Der findes flere forskellige nødprocedurer, som erhvervsdrivende kan anvende til at modtage kortbetalinger i situationer, hvor Nets eller andre dele af betalingsinfrastrukturen rammes af en IT-hændelse.
Finanstilsynet vurderer, at Nets ikke i tilstrækkeligt omfang har informeret kunder og samarbejdspartnere om denne mulighed. Informationen kunne være givet som generel information til kunder og samarbejdspartnere i forbindelse med det løbende kundeforhold. Som minimum burde det dog være kommunikeret, så snart Nets blev bekendt med omfanget af konsekvenserne af hændelsen. Nets burde også have sikret, at erhvervsdrivende, der var berørt af hændelsen, men som Nets ikke selv har et direkte kundeforhold til, blev informeret. Denne information kunne eksempelvis gives gennem medierne.
IT-inspektion
Nets har identificeret årsager til hændelsen og har iværksat tiltag for at udbedre fejlene. Finanstilsynet vil følge op på dette på en kommende IT-inspektion, bl.a. med fokus på, hvordan lignende hændelser forebygges fremover.
[1]Jf. artikel 6, stk. 8, litra h, jf. artikel 14, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor (DORA).
[2]Jf. artikel 19, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor (DORA).