Redegørelse om IT-inspektion i DLR Kredit

Sammenfatning og risikovurdering

Finanstilsynet vurderer, at DLR Kredit har mangler på væsentlige områder indenfor instituttets styring af IT-risici, IT-beredskab, IT-tredjepartsrisici, IT-hændelser og test af digital operationel modstandsdygtighed. Disse mangler indebærer en forhøjet IT-risiko. Finanstilsynet har derfor givet DLR Kredit en række påbud om at sikre en tilstrækkelig styring af områderne.

DLR Kredit har mangler i sin IT-risikostyring. Instituttet har ikke etableret en klart defineret og veldokumenteret ramme for IT-risikostyring, og strategien for digital operationel modstandsdygtighed er ikke tilstrækkelig. Rammen og instituttets gennemgang heraf er ikke tilstrækkelig klar. Der er uklarhed om ansvarsfordelingen mellem første og anden forsvarslinje i relation til IT-risikostyringsrammen, og informationssikkerhedspolitikken er ikke tilpasset DLR Kredits risikoprofil. Kontrolprocedurerne er ikke tilpasset i henhold til kravene i DORA. Det kan medføre en risiko for, at væsentlige IT-risici ikke identificeres, vurderes eller håndteres tilstrækkeligt, og at bestyrelsen ikke har det nødvendige grundlag for at føre tilsyn. DLR Kredit har derfor fået påbud om at sikre, at styringen af IT-risici er tilstrækkelig [1].

DLR Kredit har mangler i styringen af IT-beredskabet. Kravene til IT-beredskab er fordelt på flere dokumenter og organisatoriske enheder, hvilket medfører uklarhed om ansvarsfordeling og rolleplacering. Beredskabsplanerne mangler tydelige tidshorisonter og genopretningsniveauer, og BIA-processen (processen for forretningskonsekvensanalyse) er ikke tilstrækkeligt kvalitetssikret. BCP'er (forretningskontinuitetsplaner) og DRP'er (genopretningsplaner) er ikke tilstrækkeligt operationelle, og der er ikke tilstrækkeligt overblik over eller adgang til DRP'er for alle kritiske og væsentlige IT-leverandører. Test af beredskabsplaner er ikke tilstrækkeligt helhedsorienteret, og der mangler systematisk opfølgning på, om beredskabsmålsætningerne kan realiseres i praksis. Disse forhold kan i yderste konsekvens medføre driftsforstyrrelser, som påvirker de pengeinstitutter, der er DLR Kredits kunder, og deres mulighed for at levere realkreditydelser. DLR Kredit har fået påbud om at sikre, at styringen af IT-beredskabet er tilstrækkelig [2].

DLR Kredit har mangler i styringen af tredjepartsrisici. Ikke alle tredjepartsleverancer, der understøtter kritiske funktioner, er risikovurderet, og der mangler en ensartet metode til kontrol og overvågning af leverandører. Leverandørrelaterede risici indgår ikke systematisk i den samlede IT-risikoprofil, og der er ikke fastlagt en tidsplan for opdatering af centrale kontraktbestemmelser. Der mangler desuden udarbejdelse og test af exitplaner for alle kritiske leverandører. Det kan medføre en risiko for, at væsentlige risici ved eksterne leverandører ikke identificeres eller håndteres rettidigt. DLR Kredit har fået påbud om at sikre, at styringen af tredjepartsrisici er tilstrækkelig[3].

DLR Kredit har mangler i styringen af IT-hændelser, herunder i forhold til klassificering af hændelser. Instituttet har derfor fået et påbud om at sikre, at styringen af IT-hændelser er tilstrækkelig[4].

DLR Kredit har mangler i test af digital operationel modstandsdygtighed. Testprogrammet dækker ikke alle relevante systemer og kritiske leverandører, og der mangler klare krav til testtyper, testfrekvens og opfølgning. Metoden for vurdering og håndtering af sårbarheder er utilstrækkelig, og risikovurdering af sårbarheder er ikke dokumenteret. Det kan medføre en risiko for, at væsentlige sårbarheder eller svagheder ikke identificeres og håndteres rettidigt. DLR Kredit har fået påbud om at sikre, at test af digital operationel modstandsdygtighed er tilstrækkelig[5].