Ny bekendtgørelse om Danmarks Nationalbanks rolle i cybersikkerhedstests af finansielle virksomheder under DORA-forordningen

• Danmarks Nationalbank udpeges formelt som den ansvarlige myndighed for trusselsbaserede penetrationstests (TLPT) i den finansielle sektor.
• Bekendtgørelsen implementerer regler fra EU's forordning om digital operationel modstandsdygtighed (DORA) i dansk lovgivning.
• Nationalbanken får beføjelse til at udpege, hvilke finansielle virksomheder og operatører af digital infrastruktur der skal gennemføre de avancerede cybersikkerhedstests.
• Dette formaliserer en praksis, som Nationalbanken har varetaget siden 2018 gennem TIBER-DK programmet.
• Nationalbanken skal vejlede virksomheder, overvåge testforløb og kan kræve adgang til testrapporter for at styrke sektorens cyberrobusthed.
• Afgørelser truffet af Danmarks Nationalbank i henhold til bekendtgørelsen kan påklages til Erhvervsankenævnet.
• Bekendtgørelsen forventes at træde i kraft den 17. januar 2025.

Klageadgang og ikrafttrædelse

Afgørelser truffet af Danmarks Nationalbank vedrørende udpegning af virksomheder og informationsindhentning kan påklages til Erhvervsankenævnet.

Bekendtgørelsen forventes at træde i kraft den 17. januar 2025.

Høringsfristen for udkastet er sat til den 31. oktober 2024.

Bekendtgørelsen finder anvendelse for virksomheder, der er udpeget som operatører af finansiel digital infrastruktur i henhold til § 333 i lov om finansiel virksomhed. Systemrevision defineres som revision af generelle it-kontroller, it-baserede brugersystemer og it-systemer til dataudveksling med tilsluttede finansielle virksomheder. Begreberne system-, data- og driftssikkerhed defineres også detaljeret.

Ekstern systemrevision

Operatører skal vælge mindst én godkendt revisor (den eksterne systemrevision) til at udføre systemrevisionen i overensstemmelse med god revisorskik. Den eksterne systemrevision skal årligt afgive en erklæring om system-, data- og driftssikkerheden til de tilsluttede virksomheder. Denne erklæring skal omfatte alle relevante forhold, herunder dem i medfør af afsnit IX c i lov om finansiel virksomhed. Erklæringen skal kategorisere kontrolmål som 'Betryggende', 'Betryggende, men behov for nogle forbedringer' eller 'Ikke betryggende'. Den eksterne systemrevision skal føre en særskilt systemrevisionsprotokol og udarbejde et årsprotokollat, der indsendes til Finanstilsynet.

Intern systemrevision

Bestyrelsen i en operatør kan beslutte at oprette en intern systemrevision, og det er obligatorisk for operatører, der varetager væsentlige it-driftsopgaver for pengeinstitutter. Den interne systemrevision skal ledes af en systemrevisionschef, der skal have relevant erfaring og være uafhængig af den daglige ledelse. Den interne systemrevision skal også føre protokol og udarbejde et årsprotokollat, der indsendes til Finanstilsynet. Der skal foreligge en funktionsbeskrivelse og en systemrevisionsaftale mellem den eksterne og interne systemrevision.

Fælles bestemmelser og ledelsens redegørelse

Både den interne og eksterne systemrevision skal have tilstrækkelig viden og kompetencer og løbende vedligeholde disse. De skal straks meddele Finanstilsynet, hvis de formoder, at operatørens samlede system-, data- og driftssikkerhed ikke er betryggende, eller hvis der opstår betydelige it-driftsproblemer. Operatørens ledelse skal udarbejde en redegørelse baseret på den eksterne systemrevisions erklæring, der skal hjælpe tilsluttede virksomheder med at vurdere risici. Denne redegørelse skal indeholde ledelsens vurdering af kontrolsvagheder, hvordan de håndteres, og hvilke kompenserende foranstaltninger tilsluttede virksomheder kan implementere.

Ikrafttræden og straffebestemmelser

Bekendtgørelsen forventes at træde i kraft den 1. januar 2026 og ophæver samtidig den tidligere bekendtgørelse nr. 1581 af 22. december 2022. Overtrædelse af visse bestemmelser i bekendtgørelsen kan straffes med bøde, og juridiske personer kan pålægges strafansvar.