Formålet med inspektionen var at undersøge bankens styring af IT-sikkerhedsområdet, som er reguleret i forordning om digital operationel modstandsdygtighed i den finansielle sektor (DORA).
Sammenfatning og risikovurdering
Finanstilsynet vurderer, at AL Sydbank har mangler på væsentlige områder inden for bankens styring af IT-risici, IT-beredskab, IT-tredjepartsrisici og IT-hændelser. Disse mangler indebærer en forhøjet IT-risiko. Finanstilsynet har derfor givet AL Sydbank en række påbud om at sikre en tilstrækkelig styring af områderne.
Risikostyring og rapportering
AL Sydbank har mangler i sin IT-risikostyring. Banken har først fra slutningen af 2025 haft en strategi for digital operationel modstandsdygtighed og en samlet ramme for IT-risikostyring i henhold til kravene. Rammen og bankens gennemgang heraf er ikke tilstrækkelig klar. Der er mangler i bankens proces for IT-risikostyring, og banken foretager ikke risikovurdering af alle legacysystemer. Bankens rapportering til bestyrelsen giver desuden ikke et tilstrækkeligt klart billede af bankens samlede IT-risici. Det kan medføre en risiko for, at IT-risici ikke rapporteres tilstrækkeligt, og at bestyrelsen ikke har det nødvendige grundlag for at føre tilsyn. AL Sydbank har derfor fået et påbud om at sikre, at styringen af IT-risici er tilstrækkelig[1].
Beredskab og forretningskonsekvensanalyse
AL Sydbank har mangler i styringen af bankens IT-beredskab. Bankens politik for IT-driftsstabilitet forholder sig ikke tilstrækkeligt til væsentlige dele af IT-driftsstabiliteten, og bestyrelsen fører ikke tilstrækkeligt tilsyn med politikken. Der er desuden mangler ved bankens forretningskonsekvensanalyser samt test af planer for forretningskontinuitet og genetablering. Konsekvensen af manglerne er, at der er risiko for, at driftsforstyrrelser kan påvirke kunderne i højere grad end ellers. Banken har derfor fået et påbud om at sikre, at bankens styring af IT-beredskabet er tilstrækkelig[2].
Tredjepartsrisici
AL Sydbank har mangler i styringen af IT-tredjepartsricisi. Banken har endnu ikke opdateret alle kontrakter, og planen herfor er ikke tilstrækkelig. Banken har ikke exitplaner for alle kritiske leverandører og har ikke testet planerne. Det medfører en risiko for, at et exit ikke kan gennemføres indenfor tidsrammen. Banken har derfor fået et påbud om at sikre, at bankens styring af tredjepartsrisici er tilstrækkelig[3].
Styring af hændelser
AL Sydbank har mangler i styringen af IT-hændelser, herunder i forhold til klassificering af hændelser. Banken har derfor fået et påbud om at sikre, at styringen af IT-hændelser er tilstrækkelig[4].
[1] DORA art. 5, stk. 2, art. litra e, DORA art. 6, stk. 1-3, stk. 5 og stk. 8, b), DORA art. 8, stk. 7 og RTS 2024/1774 art. 3 og art. 27.
[2] DORA art. 5, stk. 2, litra e, DORA art. 11 stk. 3, 5 og 6, DORA art. 12, stk. 6 og RTS 2024/1774 art. 24, stk. 1 og art. 26, stk. 1 og 2
[3] DORA, art. 28, stk. 8 og art. 30, stk. 2 og 3, samt RTS 2024/1773, art. 10
[4] DORA art. 18, stk. 1