Det medlemsejede selskab, der håndterer it for 17 banker, herunder Nykredit, Spar Nord, Vestjyske Bank og Arbejdernes Landsbank, har haft besøg af tilsynet – der ikke var imponeret, fremgår det af en med – delelse : ”Finanstilsynet vurderer, at BEC har grundlæggende mangler i sin risiko- og sikkerhedsstyring på IT-området. Manglerne indebærer, at BEC og BEC’s kunder har en forøget risiko på IT-området. Finanstilsynet har undersøgt, om BEC’s arbejde med en ny risikostyringsmodel vil gøre BEC i stand til at udarbejde en tilfredsstillende IT-risikovurdering og til at vurdere, i hvilken grad BEC efterlever sin IT-sikkerhedspolitik. BEC har i en længere periode arbejdet med at implementere den nye risikostyringsmodel. Finanstilsynet vurderer dog, at BEC endnu ikke har de nødvendige forudsætninger til at kunne gennemføre en tilfredsstillende IT-risikovurdering. F.eks. har BEC endnu ikke fastlagt væsentlige metodedele. BEC har fået to påbud. For det første skal BEC sikre, at datacentralens IT-risiko styres tilstrækkeligt. Forudsætningen herfor er bl.a. tilstrækkelige metodekrav til identificering af de IT-risici, der knytter til BEC’s processer, aktiviteter, tjenester, systemer og data. For det andet skal BEC sikre, at datacentralens IT-sikkerhed styres tilstrækkeligt, så BEC’s IT-sikkerhedspolitik modsvarer BEC’s risikotolerance og IT-risici.”
Sten Thorup Kristiansen