Finanstilsynet har været på inspektion i DLR Kredit og konkluderer, at selskabet har mangler på væsentlige områder inden for instituttets styring af IT-risici, IT-beredskab, IT-tredjepartsrisici, IT-hændelser og test af digital operationel modstandsdygtighed.
- Disse mangler indebærer en forhøjet IT-risiko. Finanstilsynet har derfor givet DLR Kredit en række påbud om at sikre en tilstrækkelig styring af områderne, skriver Finanstilsynet i en pressemeddelelse.
Utilstrækkeligt
DLR Kredit har ifølge Finanstilsynet mangler i sin IT-risikostyring:
"Instituttet har ikke etableret en klart defineret og veldokumenteret ramme for IT-risikostyring, og strategien for digital operationel modstandsdygtighed er ikke tilstrækkelig. Rammen og instituttets gennemgang heraf er ikke tilstrækkelig klar. Der er uklarhed om ansvarsfordelingen mellem første og anden forsvarslinje i relation til IT-risikostyringsrammen, og informationssikkerhedspolitikken er ikke tilpasset DLR Kredits risikoprofil. Kontrolprocedurerne er ikke tilpasset i henhold til kravene i DORA. Det kan medføre en risiko for, at væsentlige IT-risici ikke identificeres, vurderes eller håndteres tilstrækkeligt, og at bestyrelsen ikke har det nødvendige grundlag for at føre tilsyn. DLR Kredit har derfor fået påbud om at sikre, at styringen af IT-risici er tilstrækkelig," skriver tilsynet.
Finanstilsynet uddyber, at DLR Kredit har mangler i styringen af IT-beredskabet, blandt andet fordi kravene til IT-beredskabet er fordelt på flere dokumenter og organisatoriske enheder, hvilket ifølge tilsynet medfører uklarhed om ansvarsfordeling og rolleplacering.
"Beredskabsplanerne mangler tydelige tidshorisonter og genopretningsniveauer, og BIA-processen (processen for forretningskonsekvensanalyse) er ikke tilstrækkeligt kvalitetssikret. BCP'er (forretningskontinuitetsplaner) og DRP'er (genopretningsplaner) er ikke tilstrækkeligt operationelle, og der er ikke tilstrækkeligt overblik over eller adgang til DRP'er for alle kritiske og væsentlige IT-leverandører," skriver Finanstilsynet.
Opfølgning mangler
Det konstateres desuden, at test af beredskabsplaner ikke er tilstrækkeligt helhedsorienteret, og at der mangler systematisk opfølgning på, om beredskabsmålsætningerne kan realiseres i praksis.
"Disse forhold kan i yderste konsekvens medføre driftsforstyrrelser, som påvirker de pengeinstitutter, der er DLR Kredits kunder, og deres mulighed for at levere realkreditydelser. DLR Kredit har fået påbud om at sikre, at styringen af IT-beredskabet er tilstrækkelig."
Finanstilsynet konstaterer også, at DLR Kredit har mangler i styringen af tredjepartsrisici.
"Ikke alle tredjepartsleverancer, der understøtter kritiske funktioner, er risikovurderet, og der mangler en ensartet metode til kontrol og overvågning af leverandører. Leverandørrelaterede risici indgår ikke systematisk i den samlede IT-risikoprofil, og der er ikke fastlagt en tidsplan for opdatering af centrale kontraktbestemmelser. Der mangler desuden udarbejdelse og test af exitplaner for alle kritiske leverandører. Det kan medføre en risiko for, at væsentlige risici ved eksterne leverandører ikke identificeres eller håndteres rettidigt. DLR Kredit har fået påbud om at sikre, at styringen af tredjepartsrisici er tilstrækkelig."
DLR Kredit har også mangler i styringen af IT-hændelser, herunder i forhold til klassificering af hændelser.
- Instituttet har derfor fået et påbud om at sikre, at styringen af IT-hændelser er tilstrækkelig, skriver Finanstilsynet.
Utilstrækkeligt testprogram
DLR Kredit har også mangler i test af digital operationel modstandsdygtighed:
"Testprogrammet dækker ikke alle relevante systemer og kritiske leverandører, og der mangler klare krav til testtyper, testfrekvens og opfølgning. Metoden for vurdering og håndtering af sårbarheder er utilstrækkelig, og risikovurdering af sårbarheder er ikke dokumenteret. Det kan medføre en risiko for, at væsentlige sårbarheder eller svagheder ikke identificeres og håndteres rettidigt," konstaterer tilsynet, som derfor giver DLR Kredit påbud om at sikre, at test af digital operationel modstandsdygtighed er tilstrækkelig.
