Tillsynsmeddelande 6.4.2022 – 21/2022

Finansinspektionen har bedömt hur IT- och informationssäkerhetsrisker hanteras i värdepappersföretagen

Finansinspektionen gjorde på vintern 2022 en tematisk bedömning av hur IT- och informationssäkerhetsrisker hanteras i värdepappersföretagen. De brister som observerades i samband med bedömningen inverkar enligt Finansinspektionen inte i någon betydande grad på företagens risknivå.

Den tematiska bedömningen grundade sig på företagens svar på frågor om organiseringen av IT-verksamheten och hanteringen av IT- och informationssäkerhetsrisker. Enkäten utarbetades på basis av Finansinspektionens föreskrifter och anvisningar 8/2014, Hantering av operativa risker i företag under tillsyn inom finanssektorn.

Av företagens enkätsvar framgår följande:

  • Hanteringen av IT- och informationssäkerhetsriskerna har ordnats som en del av hantering-en av de operativa riskerna i värdepappersföretagen.
  • Riskhanteringsprocesserna har fastställts och företagen har ordnat de viktigaste delområdena inom hanteringen av IT- och informationssäkerhetsrisker på lämpligt sätt med beaktandet av verksamhetens omfattning.
  • I enskilda företag kom det fram några brister i ordnandet av processer och kontroller, men dessa brister kan inte anses höja risknivån i någon betydande grad.

Enkäten visade att det fanns enskilda brister i efterlevnaden av föreskrifterna i anslutning till hanteringen av vissa IT-risker (prioriteringen av kritiska informationssystem, definitionen av datasystem och informationsägare, kontinuitetsplanernas omfattning och testningen av dem). Dessa brister inverkar med beaktande av omfattningen av företagens verksamhet inte nödvändigtvis i någon betydande grad på företagens förmåga att hantera IT-risker. De företag hos vilka det observerades brister har uppmanats att korrigera dessa brister i sin verksamhet. Finansinspektionen har även i sitt tillsynsmeddelande av den 4 mars 2022 uppmanat alla företag under tillsyn att effektiverat följa upp cybersäkerheten.

Närmare upplysningar lämnas av

Pasi Korhonen, ledande riskexpert, tfn 09 183 5514 eller pasi.korhonen(at)fiva.fi