Bilag 5

Tilbage til: Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Bilag

Andre bilag

Bilag 1 (Kreditområdet)
Bilag 2 (Markedsrisiko)
Bilag 3 (Operationelle risici)
Bilag 4 (Likviditetsrisici)
Bilag 5 (It-strategi, it-risikostyringspolitik og it-sikkerhedspolitik)
Bilag 6 (Tilrettelæggelse af arbejdet i bestyrelsen)
Bilag 7 (Risikostyringsfunktionen og den risikoansvarlige)
Bilag 8 (Risikoen for overdreven gearing)

It-strategi, it-risikostyringspolitik og it-sikkerhedspolitik

Bilag 5

Anvendelsesområde

1) Dette bilag indeholder bestemmelser om de forhold i bekendtgørelsen, der relaterer sig til informationsteknologi (it), herunder kommunikationsteknologi, informationssikkerhed samt risikostyring og kontrolforanstaltninger i forbindelse hermed. I forlængelse heraf forstås der ved it-aktiver både it- og informationsaktiver.

2) Virksomheder omfattet af bilaget skal overholde bestemmelserne på en måde, der står i et rimeligt forhold til og tager hensyn til virksomhedens størrelse, dens interne organisation og anvendelse af en fælles datacentral. Desuden skal det stå i et rimelig forhold til arten, omfanget og kompleksiteten af, samt risikoen ved, de tjenesteydelser og produkter, som virksomheden leverer eller har til hensigt at levere. For virksomheder, der får leveret forretningskritiske systemer og/eller IT-infrastruktur af en fælles datacentral, kan datacentralen medvirke aktivt til at sikre overholdelse af de relevante bestemmelser i bilaget. Det er dog fortsat virksomhedens ansvar at efterleve bestemmelserne og at følge op på datacentralens overholdelse af den aftalte arbejdsfordeling.

Bestyrelsens opgaver og ansvar

It-strategi

3) Bestyrelsen har ansvaret for at sikre, at virksomheden har en egnet organisering og tilstrækkelig intern styring af og kontrol med risici i forbindelse med dens it-anvendelse.

4) Bestyrelsen skal sikre, at virksomheden har en it-strategi, der skal være i overensstemmelse med virksomhedens overordnede strategi og fastlægge:

Hvordan virksomhedens it skal udvikles, herunder organisering af it-arbejdet, ændringer i it-systemer og væsentlige afhængigheder af tredjeparter.

Klare it-sikkerhedsmålsætninger med fokus på it-systemer, it-tjenester, personale og processer.

5) Bestyrelsen skal løbende, og mindst én gang om året, revurdere og godkende it-strategien.

It-risikostyringspolitik

6) Bestyrelsen skal sikre, at virksomheden har en politik for it-risikostyring, jf. § 4, stk. 2, nr. 6. Politikken kan være en særskilt politik eller indgå som en del af øvrige relevante politikker. Politikken skal som minimum indeholde:

It-risikotolerancen i overensstemmelse med virksomhedens overordnede risikotolerance.

Metodekrav til styring af it-risici, herunder identificering af it-risici. Identificeringen skal kortlægge, hvilke it-risici virksomheden er og kan være udsat for, herunder risici knyttet til virksomhedens

processer, aktiviteter, tjenester, systemer og data,

ii.

afhængighed af eksterne forhold, herunder leverandører,

iii.

organisering, herunder manglende funktionsadskillelse.

Krav til at it-sikkerhedshændelser inddrages i risikostyringen.

Krav til omfang og frekvens af risikovurderinger.

7) Bestyrelsen skal løbende, og mindst én gang om året, revurdere og godkende politikken for it-risikostyring.

It-sikkerhedspolitik

8) Bestyrelsen skal på baggrund af en samlet risikovurdering af virksomhedens anvendelse af it, herunder it-outsourcing, beslutte en it-sikkerhedspolitik.

9) It-sikkerhedspolitikken skal ud fra den ønskede risikoprofil på it-området indeholde en overordnet stillingtagen til alle væsentlige forhold vedrørende it-sikkerheden, herunder principper og regler for at beskytte fortroligheden, integriteten og tilgængeligheden af virksomhedens og kundernes data, og virksomhedens væsentlige forretningsfunktioner. Hvad der er væsentligt, afhænger bl.a. af virksomhedens størrelse, forretningsmodel, omfanget og kompleksiteten af virksomhedens it-anvendelse samt virksomhedens potentielle påvirkning af det finansielle system. It-sikkerhedspolitikken skal være i overensstemmelse med virksomhedens it-sikkerhedsmålsætninger, jf. nr. 4, litra b, og være baseret på de relevante resultater af risikovurderingen.

Følgende forhold skal der som minimum tages stilling til:

Organisering af it-arbejdet, herunder funktionsadskillelse mellem

systemudvikling/-vedligeholdelse,

ii.

it-drift og

iii.

virksomhedens forretningsførelse.

Regelmæssige risikovurderinger.

Beskyttelse af systemer, data, maskinel og kommunikationsveje.

Systemudvikling og vedligeholdelse af systemer.

Projektstyring.

It-driftsafvikling.

It-hændelses- og problemstyring.

Logning og overvågning.

Funktionsadskillelse.

Backup.

Målsætning for beredskab, herunder for forretningskontinuitet og genopretning.

Kvalitetssikring.

Test og gennemgang af it-sikkerhed.

Adgangsstyring.

Principper for implementering af politikken i uddybende forretningsgange, m.v.

Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler.

Overholdelse af relevant lovgivning.

Rapportering, kontrol og opfølgning.

Eventuelle dispensationer fra it-sikkerhedspolitikken.

Uddannelse i it-sikkerhed.

10) Politikken skal fastsætte krav til personale og konsulenter, processer og teknologi. Ligeledes skal politikken sikre fortrolighed, integritet og tilgængelighed af kritiske logiske og fysiske aktiver, ressourcer og følsomme data, ved opbevaring, overførsel og anvendelse.

11) Politikken skal formidles til alle relevante medarbejdere og konsulenter.

12) It-sikkerhedspolitikken skal indeholde en stillingtagen til behovet for etablering af flercenterdrift på alle forretningskritiske it-systemer.

13) Bestyrelsen skal regelmæssigt og mindst én gang om året revurdere og godkende it-sikkerhedspolitikken på baggrund af en opdateret samlet risikovurdering, der bygger på virksomhedens løbende vedligeholdte it-risikoregister, jf. nr. 107, litra a. Bestyrelsen skal i den forbindelse vurdere, om it-sikkerhedspolitikken er tilstrækkelig til at sikre, at risici, som it-anvendelsen medfører og forventes at medføre, er på et acceptabelt niveau for virksomheden.

14) It-sikkerhedspolitikken skal i videst muligt omfang være uafhængig af anvendt teknologi.

Direktionens opgaver og ansvar

It-strategi

15) Direktionen skal sikre, at der opstilles handlingsplaner, der sikrer implementeringen af it-strategiens mål. Alle relevante medarbejdere, konsulenter og leverandører skal orienteres om disse handlingsplaner. Handlingsplanerne skal revideres minimum én gang om året for at sikre, at de er relevante og hensigtsmæssige.

16) Direktionen skal sikre, at der bliver identificeret og tildelt centrale roller og ansvarsområder for alle funktioner vedrørende it.

17) Direktionen skal sikre, at der føres kontrol med implementeringen af it-strategien.

Implementering af it-risikostyringspolitikken

Organisation og mål

18) Direktionen skal sikre, i henhold til nr. 7, at virksomhedens it-risikostyringspolitik efterleves, og at virksomheden har passende rammer og forretningsgange for it-risikostyring og kontrol.

19) Direktionen skal sikre, at der er tilstrækkeligt og kvalificeret personale til løbende at understøtte virksomhedens operationelle it-behov og it-risikostyringsprocesser. Direktionen skal sikre, at det tildelte budget er tilstrækkeligt. Desuden skal direktionen sikre, at relevante medarbejdere, der beskæftiger sig med området, herunder personer med nøglefunktioner, modtager relevant uddannelse inden for it-risici, herunder it-sikkerhed, minimum én gang om året.

20) Direktionen skal sikre, at der bliver identificeret og tildelt centrale roller og ansvarsområder samt rapporteringskanaler for at sikre, at rammerne for it-risikostyring er effektive. Dette skal integreres fuldt ud i og tilpasses virksomhedens overordnede risikostyring.

21) Direktionen skal sikre, at it-risici bliver styret. Den eller de it-funktioner, der er ansvarlig(e) for it-systemer, -processer og -sikkerhedsforanstaltninger, skal have passende processer og kontrolforanstaltninger til at sikre, at risici identificeres, analyseres, måles, håndteres, overvåges, rapporteres og ligger inden for virksomhedens it-risikotolerance, jf. nr. 6, litra a.

Identificering af funktioner, processer og aktiver

22) Direktionen skal sikre identificering af forretningsfunktioner, roller og understøttende processer for at kunne vurdere betydningen af de enkelte elementer og deres indbyrdes afhængighed i forhold til it-risici og sikre, at kortlægningen heraf holdes opdateret.

23) Direktionen skal sikre, at der udarbejdes og vedligeholdes en opdateret oversigt over it-aktiver, som understøtter de kortlagte forretningsfunktioner og understøttende processer. Oversigten skal gøre virksomheden i stand til, som minimum, at styre de it-aktiver, der understøtter kritiske forretningsfunktioner og understøttende -processer. Med it-aktiver, som understøtter forretningsfunktioner og understøttende processer, forstås bl.a. it-systemer, it-tjenester, medarbejdere, konsulenter, tredjeparter og afhængigheder af andre interne og eksterne systemer og processer.

Klassificering og risikovurdering

24) Direktionen skal sikre, at de identificerede forretningsfunktioner, understøttende processer og it-aktiver klassificeres på basis af, hvor kritiske de er.

25) For at definere hvor kritiske de identificerede forretningsfunktioner, understøttende processer og it-aktiver er, skal der som minimum tages hensyn til fortroligheds-, integritets- og tilgængelighedskrav. Der skal være en klar ansvarsfordeling i forhold til it-aktiver.

26) Direktionen skal sikre, at det vurderes, om klassificeringen af it-aktiver og den relevante dokumentation er tilstrækkelig, når der foretages risikovurderinger.

27) Direktionen skal sikre, at it-risici identificeres i overensstemmelse med kritikaliteten af de identificerede og klassificerede forretningsfunktioner, understøttende processer og it-aktiver, som it-risiciene påvirker. Risikovurderingerne skal foretages og dokumenteres minimum én gang om året. Sådanne risikovurderinger skal også foretages i forbindelse med større ændringer i infrastruktur, processer eller forretningsgange, der påvirker forretningsfunktionerne, de understøttende processer eller it-aktiverne, og ved andre relevante ændringer, herunder i trusselsbilledet. På baggrund heraf skal den samlede eksisterende risikovurdering, jf. nr. 13, af virksomheden opdateres.

28) Direktionen skal sikre, at trusler og sårbarheder, der er relevante for forretningsfunktioner, understøttende processer og it-aktiver, løbende overvåges. Desuden skal de risikoscenarier, der kan påvirke disse forretningsfunktioner, understøttende processer og it-aktiver, udarbejdes og regelmæssigt gennemgås.

Håndtering af it-risici

29) På grundlag af risikovurderingerne skal direktionen sikre, at der træffes beslutninger om, hvilke foranstaltninger der skal implementeres for at håndtere identificerede it-risici, så de er på et acceptabelt niveau, og om det er nødvendigt at foretage ændringer i eksisterende forretningsprocesser, kontrolforanstaltninger, it-systemer og it-tjenester. Er det nødvendigt at foretage ændringer, skal det sikres, at risici i den mellemliggende periode håndteres ved at træffe de nødvendige kompenserende foranstaltninger med henblik på at holde sig inden for virksomhedens it-risikotolerance jf. nr. 6, litra a.

30) Direktionen skal sikre, at der udarbejdes og implementeres foranstaltninger til at håndtere de identificerede it-risici samt beskytte it-aktiver i overensstemmelse med klassificeringen.

Rapportering

31) Direktionen skal sikre, at risikovurderinger i relevant omfang og den samlede it-risikovurdering rapporteres tydeligt og rettidigt til direktionen og bestyrelsen.

Implementering af it-sikkerhedspolitikken

32) Direktionen skal sikre, at virksomhedens it-sikkerhedspolitik efterleves, og at denne uddybes og implementeres i forretningsgange m.v.

33) Direktionen skal sikre, at der udarbejdes og implementeres forretningsgange, som understøtter, at ansvar, herunder ejerskab til it-processer og ressourcer, er placeret.

34) Direktionen skal sikre, at der udarbejdes og implementeres forretningsgange, som understøtter, at funktionsadskillelsen løbende bliver overvåget og revurderet.

35) Direktionen skal sikre, at der udarbejdes og implementeres forretningsgange, som understøtter, at der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder.

36) Direktionen skal sikre, at der udarbejdes og implementeres forretningsgange, som understøtter, at der er tilstrækkelige it-ressourcer.

Logisk sikkerhed

37) Direktionen skal sikre, at der bliver udarbejdet og implementeret forretningsgange for logisk adgangskontrol (identitets- og adgangsstyring). Forretningsgangene skal også omfatte kontrolforanstaltninger, som sikrer overvågning af uregelmæssigheder. Disse forretningsgange skal sikre, at virksomheden har en risikobaseret bruger- og rettighedsstyring, der som minimum indeholder følgende elementer, hvor udtrykket "bruger" også omfatter brugerkonti, der ikke er tildelt personer:

"Need to know"-princippet, "least privilege"-princippet og "funktionsadskillelse": Virksomheden skal forvalte adgangsrettigheder til it-aktiver og deres støttesystemer efter "need to know"-princippet. Brugerne skal tildeles minimumsadgangsrettigheder, der er strengt nødvendige for udførelsen af deres opgaver ("least privilege"-princippet), så virksomheden sikrer, at en bruger ikke tildeles kombinationer af adgangsrettigheder, som kan anvendes til at omgå kontrolforanstaltninger (princippet om "funktionsadskillelse"). Funktionsadskillelse i systemer og i tekniske miljøer skal være dokumenteret.

Brugeransvar: Virksomheden skal begrænse brugen af generiske og delte brugerkonti og sikre, at brugerne, som har udført handlinger i it-systemerne, kan identificeres.

Privilegerede adgangsrettigheder: Virksomheden skal sikre løbende kontrol og overvågning samt gennemføre stærke kontrolforanstaltninger i forhold til privilegeret systemadgang. For at opnå sikker kommunikation og reducere risikoen skal fjernadgang til kritiske it-systemer kun tildeles efter "need to know"-princippet, og når der anvendes stærke autentifikationsløsninger.

Logning af brugeraktiviteter: Alle relevante aktiviteter, og som minimum de aktiviteter der udføres af privilegerede brugere, skal logges og overvåges. Logs skal sikres, så uautoriseret ændring eller sletning forhindres, og skal opbevares i en periode, der står i et rimeligt forhold til kritikaliteten af de identificerede forretningsfunktioner, understøttende processer og it-aktiver. Virksomheden skal bruge disse oplysninger som led i identifikationen og undersøgelsen af uregelmæssige aktiviteter.

Adgangsstyring: Adgangsrettigheder skal gives, slettes, trækkes tilbage og/eller ændres rettidigt i overensstemmelse med foruddefinerede forretningsgange, som involverer dataejeren af de informationer, der gøres tilgængelige (ejeren af it-aktivet). Ved ophør af ansættelse skal adgangsrettighederne omgående trækkes tilbage.

Periodisk gennemgang af adgangsrettigheder: Adgangsrettighederne skal gennemgås regelmæssigt for at sikre, at brugerne ikke har for brede rettigheder, og at adgangsrettighederne slettes, når der ikke længere er behov for dem. Identificeres der ved gennemgangen uhensigtsmæssige eller risikofyldte adgange, skal det sikres, at der gennemføres kontrol- og opfølgningstiltag af, om adgangene har været anvendt uhensigtsmæssigt.

Autentifikationsmetoder: Virksomheden skal have tilstrækkeligt effektive autentifikationsmetoder. Autentifikationsmetoderne skal modsvare kritikaliteten af de it-systemer, oplysninger eller den proces, der gives adgang til. Dette skal som minimum omfatte komplekse passwords eller stærkere autentifikationsmetoder baseret på den relevante risiko.

Klassifikation: Virksomheden skal identificere og klassificere kritiske systemer og data i relation til rettighedsstyringen samt synliggøre risici herved. Ligeledes skal systemer og data løbende klassificeres, kritiske adgange på tværs af systemer skal identificeres, og kritiske systemadgange skal logges for at sikre en effektiv overvågning og rettidig sporing af uautoriseret aktivitet.

Kombination af roller og rettigheder: Virksomheden skal identificere roller, rettigheder og kombinationer heraf samt synliggøre risici forbundet hermed, herunder i hvilket omfang adgangstildelingen skal underlægges løbende kontrol og overvågning samt ansvaret herfor.

38) Applikationers adgang til data og it-systemer skal begrænses til det minimum, der er nødvendigt for at levere den relevante tjeneste.

Fysisk sikkerhed

39) Direktionen skal sikre, at fysiske sikringsforanstaltninger bliver defineret, dokumenteret og implementeret for at beskytte ejendomme, datacentre og følsomme områder mod uautoriseret adgang og klima- og miljøfarer.

40) Direktionen skal sikre, at fysiske adgange til it-systemer kun tillades for autoriserede personer. Tilladelse skal gives i overensstemmelse med den enkeltes opgaver og ansvarsområder samt begrænses til personer, der er tilstrækkeligt uddannet og overvåget. Fysiske adgangsrettigheder skal regelmæssigt gennemgås.

41) Foranstaltninger til beskyttelse mod klima- og miljøfarer skal stå i et rimeligt forhold til bygningernes betydning og kritikaliteten af den drift eller de it-systemer, der er placeret i bygningerne.

It-driftssikkerhed

42) Direktionen skal sikre, at der udarbejdes og implementeres forretningsgange for at forebygge og minimere it-sikkerhedsproblemer. Disse forretningsgange skal omfatte alle relevante foranstaltninger for at modvirke sandsynlige risici under hensyn til virksomhedens størrelse, karakter og risikoprofil. Forretningsgangene skal som minimum forholde sig til nedenstående:

Identifikation af potentielle sårbarheder, som skal vurderes og afhjælpes, herunder ved at sikre, at software og firmware er opdateret. Det gælder både software, der anvendes af virksomhedens interne og eksterne brugere.

Implementering af sikre standardkonfigurationer for alle netværkskomponenter og relevante systemer.

Implementering af netværkssegmentering, systemer til at forebygge datatab (data loss prevention systems) og kryptering af netværkstrafik.

Beskyttelse af enheder, hvormed brugere har adgang til systemer, herunder servere, arbejdsstationer og mobile enheder. Ligeledes skal det vurderes, om enhederne opfylder de sikkerhedsstandarder, der er fastlagt, før enhederne tilsluttes virksomhedens netværk.

Sikring af at der er indført mekanismer til kontrol af software-, firmware- og dataintegritet.

Kryptering af data ved opbevaring og overførsel.

43) Direktionen skal sikre, at det løbende vurderes, om ændringer i produktionsmiljøer påvirker sikkerhedsforanstaltningerne eller kræver, at yderligere foranstaltninger implementeres for at håndtere de hermed forbundne risici tilstrækkeligt. Disse ændringer skal indgå i virksomhedens formelle ændringsstyringsproces, som skal sikre, at ændringer risikovurderes, planlægges, testes, dokumenteres, godkendes og installeres korrekt, jf. nr. 85.

Sikkerhedsovervågning

44) Direktionen skal sikre, at forretningsgange udarbejdes og implementeres for at opdage og reagere på uregelmæssige aktiviteter, som kan påvirke virksomhedens it-sikkerhed. Som led heri skal der etableres løbende overvågning og effektive foranstaltninger for at kunne opdage og rapportere fysisk eller logisk indtrængen samt brud på fortroligheden, integriteten og tilgængeligheden af it-aktiver. Overvågningen skal som minimum omfatte:

Relevante interne og eksterne faktorer, herunder forretningsfunktioner og administrative it-funktioner.

Transaktioner til afsløring af tredjeparters eller andre enheders misbrug af adgang samt internt misbrug af adgang, jf. nr. 37.

Potentielle interne og eksterne trusler.

45) Direktionen skal sikre, at der udarbejdes og implementeres forretningsgange og organisationsstrukturer for at identificere og løbende overvåge sikkerhedstrusler, som kan have væsentlig indflydelse på evnen til at levere tjenester, herunder aktivt overvåge den teknologiske udvikling for at sikre opmærksomhed på it-risici herved. Der skal implementeres opdagende kontrolforanstaltninger, eksempelvis for at identificere mulige informationslækager, skadelig kode og andre sikkerhedstrusler, samt offentligt kendte sårbarheder i software og hardware. Der skal overvåges for tilsvarende sikkerhedsopdateringer.

46) Sikkerhedsovervågningen skal hjælpe virksomheden til at forstå hændelsen for at kunne identificere trends og understøtte opklaringen af hændelsen.

Test og gennemgang af it-sikkerhed

47) Direktionen skal sikre, at der udføres tests, gennemgange og vurderinger af it-sikkerheden for at sikre effektiv identifikation af sårbarheder i it-systemer og it-tjenester. Der skal som minimum foretages gap-analyser i forhold til it-sikkerhedsstandarder samt regelmæssig gennemgang af, hvorvidt virksomheden overholder gældende regler. Desuden skal virksomheden ud fra en risikobaseret tilgang udføre kildekode-review, sårbarhedsvurderinger, penetrationstest, red team-øvelser, m.v.

48) Direktionen skal sikre, at der udarbejdes og implementeres krav til test af it-sikkerheden, så det sikres, at effektiviteten af it-sikkerhedsforanstaltningerne valideres. Virksomheden skal sikre, at disse krav tager højde for trusler og sårbarheder, som er identificeret gennem trusselsovervågning og risikovurderingsprocessen.

49) Kravene til test af it-sikkerheden skal sikre, at test:

Udføres af uafhængige personer med tilstrækkelig viden, faglig kompetence og ekspertise i test af it-sikkerhedsforanstaltninger, og som ikke er involveret i udviklingen af virksomhedens it-sikkerhedsforanstaltninger.

Omfatter sårbarhedsscanninger og penetrationstest, som står i et rimeligt forhold til det risikoniveau, der er identificeret i forretningsprocesser og -systemer.

50) Direktionen skal sikre, at der gennemføres løbende og gentagne test af sikkerhedsforanstaltningerne. Kritiske it-systemer skal testes mindst én gang om året. Ikke-kritiske systemer skal testes regelmæssigt og inden for en periode på minimum tre år.

51) Direktionen skal sikre, at der gennemføres test af sikkerhedsforanstaltninger i tilfælde af ændringer i infrastruktur, processer eller forretningsgange, og hvis der foretages ændringer på grund af større it-sikkerhedshændelser, jf. nr. 64. Der skal også gennemføres test som følge af lancering af nye eller væsentligt ændrede kritiske applikationer, der kan tilgås fra internettet.

52) Direktionen skal sikre, at resultaterne af de udførte sikkerhedstest bliver evalueret, samt at sikringsforanstaltninger opdateres i overensstemmelse hermed uden unødig forsinkelse, når der er tale om kritiske systemer.

53) For institutter, som udbyder betalingstjenester, skal testrammerne også omfatte sikringsforanstaltninger, der er relevante for:

Betalingsterminaler og enheder, der anvendes til betalingstjenester.

Betalingsterminaler og enheder, der anvendes til at autentificere betalingstjenestebrugeren.

Enheder og software, som betalingstjenesteudbyderen leverer til betalingstjenestebrugeren for at generere/modtage autentifikationskoder.

54) På basis af de observerede sikkerhedstrusler og de foretagne ændringer skal der udføres test af scenarier, som omfatter relevante og forudsigelige potentielle angreb.

It-driftsstyring

55) Direktionen skal sikre, at it-driften forvaltes på grundlag af udarbejdede og implementerede forretningsgange. Disse skal definere, hvordan virksomheden driver, overvåger og kontrollerer it-systemer og -tjenester, og skal omfatte dokumentation af kritisk it-drift og vedligeholdelse af den opdaterede oversigt over it-aktiver.

56) Direktionen skal sikre, at it-driften er i overensstemmelse med forretningsmæssige krav. Virksomheden skal vedligeholde og forbedre effektiviteten af it-driften, herunder sikre at potentielle fejl som følge af udførelsen af manuelle opgaver minimeres.

57) Direktionen skal sikre, at der udarbejdes og implementeres lognings- og overvågningsforretningsgange for kritisk it-drift for at gøre det muligt at opdage, analysere og rette fejl.

58) Direktionen skal sikre, at der føres en opdateret oversigt over it-aktiver herunder it-systemer, netværksudstyr, databaser osv. Denne skal indeholde konfigurationen af it-aktiverne og indbyrdes afhængigheder mellem de forskellige it-aktiver for at kunne gennemføre konfigurations- og ændringsstyringsprocesser.

59) Oversigten over it-aktiver skal være tilstrækkelig detaljeret til at sikre hurtig identifikation af et it-aktiv, dets placering, sikkerhedsklassifikation og ejerforhold. Indbyrdes afhængigheder mellem it-aktiver skal dokumenteres med henblik på at bidrage til styring af it-sikkerhedshændelser, herunder cyberangreb.

60) Direktionen skal sikre, at it-aktivernes livscyklus overvåges og styres for at sikre, at de løbende opfylder og understøtter forretnings- og risikostyringskrav. Virksomheden skal overvåge, om it-aktiverne understøttes af interne eller eksterne leverandører og udviklere, og om alle relevante patches og opgraderinger er implementeret i henhold til dokumenterede processer. Ligeledes skal det overvåges, om alle relevante patches og opgraderinger installeres på grundlag af dokumenterede processer. Risici som følge af forældede eller ikke-supporterede it-aktiver skal vurderes og håndteres.

61) Direktionen skal sikre, at der implementeres kapacitetsovervågning med henblik på rettidigt at forebygge, opdage og reagere på vigtige driftsproblemer vedrørende it-systemer og mangel på it-kapacitet.

62) Direktionen skal sikre, at forretningsgange for backup og gendannelse af data og it-systemer udarbejdes og implementeres for at sikre, at de kan gendannes som påkrævet i henhold til fastsatte krav. Omfanget og hyppigheden af backup skal fastsættes i overensstemmelse med de forretningsmæssige krav til genopretning samt data og it-systemernes kritikalitet og evalueres i overensstemmelse med risikostyringen. Test af backup- og gendannelsesforretningsgange skal foretages løbende i henhold til fastsatte krav.

63) Direktionen skal sikre, at backup af data og it-systemer opbevares sikkert og isoleret fra den primære beliggenhed, så de ikke udsættes for de samme risici.

It-sikkerhedshændelses- og problemstyring

64) Direktionen skal sikre, at der udarbejdes og implementeres en forretningsgang for it-hændelses- og problemstyring med henblik på at overvåge og logge it-sikkerhedshændelser og gøre det muligt for virksomheden at fortsætte eller genoprette kritiske forretningsfunktioner og -processer rettidigt, når der opstår driftsforstyrrelser. Virksomheden skal fastsætte passende kriterier og tærskler for at klassificere it-sikkerhedshændelser samt fastsætte tidlige varslingsindikatorer, der skal fungere som alarmer for at muliggøre tidlig opdagelse af it-sikkerhedshændelser.

65) For at minimere påvirkning fra utilsigtede it-sikkerhedshændelser og muliggøre rettidig genopretning skal der udarbejdes og implementeres passende forretningsgange og organisatoriske strukturer, som sikrer en konsekvent og integreret overvågning, styring og opfølgning på it-sikkerhedshændelser. Desuden skal de grundlæggende årsager identificeres og fjernes for at forhindre, at it-sikkerhedshændelser gentages. Forretningsgangen for it-hændelses- og problemstyring skal derudover som minimum fastlægge:

Krav til identificering, sporing, registrering, kategorisering, klassificering og rapportering af it-sikkerhedshændelser prioriteret på baggrund af forretningskritikaliteten.

Roller og ansvar for forskellige hændelsesscenarier.

Krav til it-problemstyring med henblik på at identificere, analysere og løse problemet/problemerne, som fører til it-sikkerhedshændelser. It-sikkerhedshændelser, der kan påvirke virksomheden, som er blevet identificeret eller har fundet sted inden for og/eller uden for organisationen, skal analyseres. Ligeledes skal de vigtigste erfaringer tages i betragtning, og sikkerhedsforanstaltningerne skal opdateres i overensstemmelse hermed.

Effektive interne kommunikationsplaner, herunder notificering om it-sikkerhedshændelser og eskalationsprocedurer, der også omfatter sikkerhedsrelaterede kundeklager, for at sikre, at

it-sikkerhedshændelser med potentielt stor negativ indvirkning på kritiske it-systemer og it-tjenester rapporteres til den relevante ledelse,

ii.

direktionen underrettes i tilfælde af væsentlige it-sikkerhedshændelser og som minimum underrettes om konsekvenserne, opfølgningen og de yderligere kontrolforanstaltninger, der skal udarbejdes og implementeres som resultat af it-sikkerhedshændelserne, og at

iii.

bestyrelsen skal underrettes i relevant omfang.

Krav til it-sikkerhedshændelsesstyring for at håndtere konsekvenserne som følge af it-sikkerhedshændelserne og sikre, at tjenesten rettidigt bliver operationel og sikker.

Specifikke eksterne kommunikationsplaner for kritiske forretningsfunktioner og processer for at sikre

samarbejde med relevante interessenter for effektivt at reagere på hændelsen og reetablere driften, og

ii.

levering af rettidige oplysninger til eksterne parter, alt efter hvad der er relevant og i overensstemmelse med gældende lovgivning.

66) Direktionen skal sikre, at it-sikkerhedshændelser, som virksomheden selv kategoriserer som kritiske, uden unødigt ophold bliver rapporteret til Finanstilsynet. Rapporteringen skal som minimum omfatte it-sikkerhedshændelser, der medfører væsentlig reduktion i funktionaliteten som følge af brud på fortrolighed, integritet og/eller tilgængelighed til it-systemer og/eller data.

Brug af leverandører

67) Direktionen skal sikre effektiviteten af foranstaltninger til risikostyring, når it-tjenesters, betalingstjenesters og it-systemers operationelle funktioner outsources, herunder til koncernenheder.

68) For at sikre kontinuitet i it-tjenesterne og it-systemerne skal direktionen sikre, at kontrakter og serviceleveranceaftaler med leverandører som minimum omfatter følgende:

Passende og forholdsmæssige it-sikkerhedsmål og –foranstaltninger.

Forretningsgange for styring af it-sikkerhedshændelser, herunder eskalering og rapportering.

69) Direktion skal sikre, at leverandørers grad af efterlevelse af it-sikkerhedsmål og sikkerhedsforanstaltninger overvåges og rapporteres i relevant omfang.

Virksomhedens eventuelle status som operatør af en væsentlig tjeneste

70) Direktionen i et penge- eller et realkreditinstitut, der er udpeget af Finanstilsynet som operatør af væsentlige tjenester, skal sikre, at Finanstilsynet og Center for Cybersikkerhed hurtigst muligt bliver underrettet om hændelser, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningen skal indeholde oplysninger om antallet af brugere, som berøres af afbrydelsen af den væsentlige tjeneste, hændelsens varighed, den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen, og om eventuelle grænseoverskridende konsekvenser af hændelsen.

It-projektstyring

71) Direktionen skal sikre, at der udarbejdes og implementeres en forretningsgang for it-projektstyring, der definerer roller og ansvar.

72) Risici, der følger af virksomhedens portefølje af it-projekter, skal identificeres, analyseres, måles, håndteres, overvåges og rapporteres, idet der også skal tages hensyn til de risici, der kan opstå som følge af indbyrdes afhængigheder mellem forskellige projekter, herunder når de afvikles med de samme ressourcer og/eller den samme ekspertise.

73) Forretningsgangen for it-projektstyring skal som minimum omfatte:

Projektmål.

Roller og ansvar.

En projektrisikovurdering.

En projektplan, en tidsramme og de forskellige trin.

Vigtigste milepæle.

Krav til ændringsstyring.

74) It-projektstyringsforretningsgangen skal sikre, at it-sikkerhedskrav analyseres og godkendes af en funktion, der er tilstrækkelig uafhængig og har de rette kompetencer.

75) Direktionen skal sikre, at alle områder, der påvirkes af et it-projekt, er repræsenteret i projektteamet, og at projektteamet har den nødvendige viden til at sikre en sikker og succesfuld projektgennemførelse.

76) Etableringen og fremdriften af it-projekter og de afledte risici skal rapporteres til direktionen afhængigt af it-projekternes betydning og omfang. Rapporteringen skal ske regelmæssigt og når relevant. Projektrisici skal inddrages i risikostyringsrammerne. Rapporteringen skal tilgå bestyrelsen i relevant omfang.

Anskaffelse og udvikling af it-systemer

77) Direktionen skal sikre, at der udarbejdes og implementeres en forretningsgang for anskaffelse, udvikling og vedligeholdelse af it-systemer, som skal udformes på grundlag af en risikobaseret tilgang.

78) Direktionen skal sikre, at funktionelle og ikke-funktionelle krav, herunder krav til it-sikkerhed, defineres klart og godkendes af den relevante leder, inden it-systemer anskaffes eller udvikles.

79) Direktionen skal sikre, at der er mitigerende foranstaltninger mod utilsigtede ændringer eller bevidst manipulation af it-systemer, der er under udvikling og implementering.

80) Direktionen skal sikre, at it-systemer testes og godkendes, inden de tages i brug, og at der tages højde for forretningsprocessernes og aktivernes kritikalitet. Testmiljøer skal i tilstrækkelig grad afspejle produktionsmiljøet.

81) Direktionen skal sikre, at it-systemer, it-tjenester og foranstaltninger testes med henblik på at identificere potentielle sikkerhedsovertrædelser, -svagheder og -hændelser.

82) Direktionen skal sikre, at der etableres adskilte it-miljøer for at opnå tilstrækkelig funktionsadskillelse og forhindre ikke-verificerede ændringer til produktionssystemerne. Produktionsmiljøerne skal adskilles fra udviklings- og testmiljøerne og andre ikke-produktionsmiljøer. Samtidig skal integriteten og fortroligheden af produktionsdata, der anvendes i ikke-produktionsmiljøer, sikres. Adgang til produktionsdata skal være begrænset til autoriserede brugere.

83) Direktionen skal sikre, at der implementeres foranstaltninger til at beskytte integriteten af kildekoden til it-systemer. Udviklingen, implementeringen, driften og/eller konfigurationen af it-systemerne skal dokumenteres for at minimere unødvendig personafhængighed. Dokumentationen for et it-system skal som minimum omfatte brugerdokumentation, teknisk systemdokumentation og forretningsgange.

84) Direktionen skal sikre, at kravene for anskaffelse og udvikling af it-systemer også gælder for it-systemer, der udvikles og/eller håndteres af forretningsfunktionernes brugere uden for it-organisationen. Dette skal ske ud fra en risikobaseret tilgang.

It-ændringsstyring

85) Direktionen skal sikre, at der udarbejdes og implementeres en forretningsgang for it-ændringsstyring for at sikre, at alle ændringer af it-systemer registreres, risikovurderes, testes, godkendes, implementeres og verificeres på en kontrolleret måde. Haste- og nødændringer skal styres efter forudbestemte og tilstrækkelige foranstaltninger.

86) Direktionen skal sikre, at det løbende vurderes, om ændringer i eksisterende produktionsmiljøer påvirker eksisterende foranstaltninger, eller om yderligere foranstaltninger er nødvendige. Disse ændringer skal ske i overensstemmelse med virksomhedens formelle ændringsstyringsproces.

Beredskab: Styring af forretningskontinuitet

87) Direktionen skal sikre, at der udarbejdes og implementeres en forretningsgang for forretningskontinuitet (Business Continuity Management, BCM) for at maksimere evnen til løbende at levere tjenester og begrænse tab i tilfælde af væsentlige it-driftsforstyrrelser.

88) Direktionen skal sikre, at en hændelse, der sætter et driftscenter ud af drift, ikke kan ramme øvrige driftscentre samtidigt. Dette skal foretages ud fra en konkret risikovurdering.

Beredskab: Forretningskonsekvensanalyser

89) Direktionen skal sikre, at der foretages forretningskonsekvensanalyser (Business Impact Analysis, BIA) af forretningsprocesser. Dette skal gøres ved at analysere eksponeringen overfor væsentlige driftsforstyrrelser og vurdere potentielle konsekvenser kvantitativt og kvalitativt ved hjælp af interne og/eller eksterne data og scenarieanalyser. Derudover skal potentielle konsekvenser for fortrolighed, integritet og tilgængelighed vurderes. Forretningskonsekvensanalyserne skal også tage højde for kritikaliteten af de identificerede og klassificerede forretningsfunktioner, understøttende processer, tredjeparter og it-aktiver samt deres indbyrdes afhængigheder.

90) Direktionen skal sikre, at virksomhedens forretningskonsekvensanalyser afspejles i design af it-systemer og it-tjenester, f.eks. ved at sikre redundans af kritiske komponenter for at undgå driftsforstyrrelser forårsaget af hændelser, der påvirker disse komponenter.

Beredskab: Forretningskontinuitetsplaner

91) Direktionen skal sikre, at der på grundlag af forretningskonsekvensanalyserne udarbejdes og implementeres forretningskontinuitetsplaner for at sikre driftskontinuitet (Business Continuity Plans, BCPs). Dette skal dokumenteres og godkendes af direktionen. Planerne skal tage hensyn til risici, der kan have en negativ indvirkning på it-systemer og it-tjenester. Planerne skal understøtte mål om at beskytte og genoprette fortroligheden, integriteten og tilgængeligheden af forretningsfunktioner, understøttende processer og it-aktiver. Hvor det er relevant, skal der samarbejdes med interne og eksterne interessenter under udarbejdelsen af planer.

92) Direktionen skal sikre, at der udarbejdes og implementeres forretningskontinuitetsplaner, så der kan reageres hensigtsmæssigt på potentielle nedbruds- og fejlscenarier, og at virksomheden er i stand til at genoprette kritiske forretningsaktiviteter efter nedbrud og inden for de fastsatte mål om genopretning, jf. nr. 9, litra k. Der skal som minimum tages stilling til det maksimale tidsrum, inden for hvilket et system eller en proces skal genoprettes efter en hændelse (Recovery Time Objective, RTO) og det maksimalt acceptable datatab, målt i tid (Recovery Point Objective, RPO). I tilfælde af alvorlige forretningsforstyrrelser, der udløser flere specifikke forretningskontinuitetsplaner, skal det sikres, at nødforanstaltninger prioriteres ud fra en risikobaseret tilgang.

93) Direktionen skal sikre, at forretningskontinuitetsplaner indeholder en række forskellige scenarier, herunder ekstreme, men plausible scenarier, inklusive cyberangrebsscenarier, som virksomheden kan blive eksponeret for, og skal vurdere den potentielle indvirkning, som sådanne scenarier kan have. På grundlag af disse scenarier skal det beskrives, hvordan kontinuiteten af forretningsprocesser samt it-sikkerhed sikres.

Beredskab: Genopretningsplaner

94) På grundlag af forretningskonsekvensanalyserne, jf. nr. 89, og mulige scenarier skal direktionen sikre, at der udarbejdes og implementeres genopretningsplaner (Disaster Recovery Plans, DRPs). Disse planer skal beskrive, hvilke betingelser der kan medføre aktivering af planerne, og hvilke foranstaltninger der skal træffes for at sikre genopretning, tilgængelighed og kontinuitet af, som minimum, virksomhedens kritiske it-systemer og it-tjenester. Genopretningsplanerne skal sikre, at genopretningsmålene kan opnås, jf. nr. 9, litra k.

95) Genopretningsplanerne skal tage højde for både kort- og langsigtede genopretningsmuligheder. Planerne skal som minimum:

Fokusere på at genoprette driften af kritiske forretningsfunktioner, understøttende processer, it-aktiver og deres indbyrdes afhængigheder for at undgå negative påvirkninger på virksomheders drift og på det finansielle system, herunder på betalingssystemer og på betalingstjenestebrugere og for at sikre gennemførelse af udestående betalingstransaktioner.

Dokumenteres og stilles til rådighed for forretnings- og støtteenhederne samt være let tilgængelige i nødsituationer.

Opdateres i overensstemmelse med erfaringerne fra it-sikkerhedshændelser, test, nye identificerede risici og trusler samt ved ændrede genopretningsmål og -prioriteter.

96) I planerne skal der også tages stilling til alternative muligheder i tilfælde af, at det på kort sigt ikke er muligt at genoprette driften på grund af omkostninger, risici, logistik eller uforudsete omstændigheder.

97) Som led i genopretningsplanerne skal direktionen tage stilling til og implementere nødplansforanstaltninger for at håndtere svigt fra leverandører, som er af afgørende betydning for den fortsatte drift af virksomhedens it-tjenester.

Beredskab: Test af planer

98) Direktionen skal sikre, at planerne testes regelmæssigt. Planerne for kritiske funktioner, understøttende processer, it-aktiver og disses indbyrdes afhængigheder skal testes mindst én gang om året, herunder, hvis relevant, dem der leveres af tredjeparter.

99) Planerne skal opdateres mindst én gang om året og på grundlag af testresultaterne, det aktuelle trusselsbillede og erfaringerne fra tidligere it-sikkerhedshændelser. Ændringer i genopretningsmålene (herunder RTO’er og RPO’er) og/eller ændringer i forretningsfunktioner, understøttende processer og it-aktiver skal også, hvor det er relevant, medføre opdatering af planerne.

100) Direktionen skal sikre, at test af planerne viser, at det er muligt at opretholde virksomhedens forretningsaktiviteter, indtil kritiske funktioner bliver genoprettet. Planerne skal som minimum:

Omfatte test af flere alvorlige men plausible scenarier, inklusiv dem der tages i betragtning i forbindelse med udviklingen af planerne. Dette gælder også for test af tjenester udbudt af tredjeparter. Test skal også omfatte skift af kritiske forretningsfunktioner, understøttende processer og it-aktiver til virksomhedens katastrofeberedskab for at vise, at de kan fungere under disse omstændigheder i en repræsentativ periode, og at virksomheden kan tilbageføre aktiviteterne til normal drift.

Være designet til at udfordre de antagelser, som planerne er baseret på, herunder governance og krisekommunikationsplaner.

Omfatte krav til at efterprøve medarbejdernes, konsulenternes, it-systemernes og it-tjenesternes evne til at reagere hensigtsmæssigt på de identificerede scenarier.

101) Direktionen skal sikre, at testresultaterne dokumenteres, og at eventuelle identificerede afvigelser analyseres, adresseres og rapporteres til en relevant leder, samt direktion og bestyrelse når dette er relevant.

Beredskab: Krisekommunikation

102) I tilfælde af nedbrud eller nødsituationer og under gennemførelsen af forretningskontinuitetsplanerne skal direktionen sikre, at virksomheden har effektive krisekommunikationsforanstaltninger, så alle relevante interne og eksterne interessenter underrettes rettidigt og på en hensigtsmæssig måde. Dette omfatter bl.a. de kompetente myndigheder og eksterne tjenesteudbydere, leverandører og/eller koncernenheder.

Uddannelse it-sikkerhed

103) Direktionen skal sikre, at der udarbejdes og implementeres et uddannelsesprogram, herunder løbende awarenessprogrammer, for alle medarbejdere og konsulenter. Det skal sikre, at de uddannes i at varetage deres opgaver og ansvar i overensstemmelse med de relevante sikkerhedspolitikker og forretningsgange og i, hvordan it-risici skal styres for at reducere menneskelige fejl, tyveri, svig, misbrug og/eller tab. Uddannelsesprogrammet skal sikre uddannelse for alle medarbejdere og konsulenter mindst én gang om året.

Efterlevelse af it-sikkerhedspolitikken

104) Direktionen skal løbende rapportere til bestyrelsen om manglende efterlevelse af it-sikkerhedspolitikken. Dette skal som minimum gøres på baggrund af tilstrækkelighed af forretningsgangene samt de implementerede tiltag.

Krav om opfølgningsproces for revisionsanbefalinger

105) Direktionen skal sikre, at der udarbejdes og implementeres forretningsgange for håndtering og efterlevelse af it-revisionsanbefalinger samt de risici, som anbefalingerne vedrører.

Risikostyringsfunktionens og den risikoansvarliges opgaver på it-risikostyringsområdet

106) Risikostyringsfunktionen, jf. § 16 og bilag 7, skal overvåge og sikre overholdelsen af it-risikostyringsrammerne og sikre, at it-risici identificeres, analyseres, måles, håndteres, overvåges og rapporteres.

107) Rammerne for it-risikostyring skal være i overensstemmelse med IT-risikostyringspolitikken og skal som minimum omfatte processer til at:

Identificere, analysere og måle de it-risici, som virksomheden er og kan være eksponeret for, jf. nr. 6, litra b. Risiciene skal samles i et it-risikoregister, jf. nr. 13.

Fastlægge foranstaltninger for at nedbringe it-risici. Der skal være en tydelig sammenhæng mellem de specifikke foranstaltninger og risici.

Overvåge effektiviteten af disse foranstaltninger samt antallet af it-sikkerhedshændelser.

Rapportere til direktionen og bestyrelsen om it-risici samt foranstaltninger og effektiviteten heraf.

Identificere og vurdere, om der er it-risici som følge af større ændringer i it-systemer, -tjenester, -forretningsgange og/eller processer og/eller efter væsentlige it-sikkerhedshændelser.

108) Rammerne for it-risikostyring skal dokumenteres og forbedres løbende på grundlag af erfaringer med implementering og overvågning. Rammerne skal opdateres og godkendes mindst én gang om året af direktionen.