Finanstilsynet har desuden fulgt op på de to IT-hændelser, der har været i Nets, henholdsvis den 19. juli 2025 og den 21. maj 2026.
Sammenfatning
Finanstilsynet vurderer, at Nets har mangler på væsentlige områder indenfor instituttets styring af IT-risici, IT-beredskab og IT-tredjepartsrisici. Disse forhold indebærer en forhøjet IT-risiko. Finanstilsynet har derfor givet Nets en række påbud om at sikre en tilstrækkelig styring af områderne.
Nets har mangler i sin IT-risikostyring, herunder forvaltning og organisering. Nets har ikke i tilstrækkelig grad sikret, at rammen for IT-risikostyring implementeres og løbende overvåges, samt at tilsynet med rammen for IT-risikostyring er forankret i det danske ledelsesorgan. Strategien for digital operationel modstandsdygtighed opfylder ikke centrale krav i DORA, og informationssikkerhedspolitikken er ikke tilpasset Nets’ specifikke risikoprofil. Arbejdsfordelingen indenfor anden forsvarslinje og mellem første og anden forsvarslinje er uklar, og der er ikke etableret tilstrækkelige kontroller. Det kan medføre en risiko for, at væsentlige IT-risici ikke identificeres, vurderes eller håndteres tilstrækkeligt, og at bestyrelsen ikke har det nødvendige grundlag for at føre tilsyn. Nets har fået påbud om at sikre, at instituttets forvaltning og organisering samt rammen for IT-risikostyring er tilstrækkelig[1].
Nets har mangler i styringen af IT-beredskabet. Nets har ikke i tilstrækkelig grad sikret, at beredskabsområdet er forankret i det danske ledelsesorgan, og der er ikke en tilfredsstillende sammenhæng mellem beredskabsmålsætninger, forretningskonsekvensanalyse (BIA) og resultater af tests og hændelser. Forretningskontinuitetsplaner (BCP’er) er ikke tilstrækkeligt gennemarbejdede og sikrer ikke, at kritiske forretningsprocesser kan fortsætte under genopretning af underliggende systemer. Nets udfører ikke tilstrækkelige tests af beredskabsplaner og sikrer dermed ikke, at beredskabsmålsætninger kan opnås under kritiske IT-nedbrud. Disse forhold kan medføre en risiko for, at Nets i tilfælde af f.eks. driftsforstyrrelser eller væsentlige IT-nedbrud ikke er i stand til at opretholde kritiske forretningsfunktioner eller leve op til sine beredskabsmålsætninger. Nets har fået påbud om at sikre, at styringen af IT-beredskab er tilstrækkelig[2].
Nets har mangler i styringen af IT-tredjepartsrisici. Nets har ikke i tilstrækkelig grad sikret, at der er en ensartet metode for risikovurdering, overvågning og rapportering på kontrakter, der understøtter kritiske eller vigtige funktioner. Derudover er der ikke en tidsplan for opdatering af centrale kontraktbestemmelser, og exitplaner for kritiske eller vigtige leverandører er ikke testet. Disse forhold kan medføre en risiko for, at væsentlige risici ved leverandører ikke identificeres eller håndteres rettidigt, hvilket kan påvirke driften af kritiske forretningsfunktioner. Nets har fået påbud om at sikre, at styringen af IT-tredjepartsrisici er tilstrækkelig[3].
Finanstilsynet har derudover fulgt op på de to IT-hændelser henholdsvis den 19. juli 2025 og den 21. maj 2026 samt påbuddet om kommunikationsstrategi ved større IT-hændelser.
Gennemgangen af de to hændelser har afdækket system- og procesmæssige mangler. Det er Finanstilsynets vurdering, at manglerne i efterlevelsen af kravene i DORA-forordningen, som er beskrevet ovenfor, har bidraget til, at de to IT-hændelser fik mere alvorlige konsekvenser, end de ellers ville have haft. Dette skyldes, at de identificerede mangler var til stede under begge hændelser, hvilket efter Finanstilsynets vurdering har forværret de samfundsmæssige konsekvenser af hændelserne.
[1] DORA art. 5, stk. 1 og stk. 2, DORA art. 6, stk. 4-5 samt stk. 8, DORA art. 9, stk. 4, litra e, og RTS 2024/1774 art. 1 og art. 2, stk. 2, litra a.
[2] DORA art. 5, stk. 2, litra e, DORA art. 11, stk. 3-4 og stk. 6, DORA art. 12, stk. 6, og RTS 2024/1774 art. 25, stk. 2 og art. 26, stk. 2.
[3] DORA art. 5, stk. 2, litra h og litra i, DORA art. 28, stk. 2-3 samt stk. 8, DORA art. 30, og RTS 2024/1773 art. 7, stk. 2, og art. 10.