Tilsynsrapport - Trøgstad Sparebank
Tilsynsrapporter og vedtak
Publisert: 15. januar 2025
Sist publisert: 19. februar 2025
Tilsynsrapporten oppsummerer IKT-tilsyn i Trøgstad Sparebank 3. september 2024. Hensikten med tilsynet var å gjøre en vurdering av hvordan foretaket administrerer, utvikler, drifter, vedlikeholder og sikrer IKT-systemer og -tjenester.Finanstilsynet vurderte styring med og kontroll av IKT-virksomheten med spesiell vekt på IKT-risiko, endrings- og avvikshåndtering, datastyring og forvaltning, IKT-sikkerhet, utkontraktering og beredskap.
Tilsynsrapport
Finanstilsynet merket seg at banken ikke mottok de utfyllende rapportene om IKT-hendelser fra leverandøren, som Finanstilsynet mottar fra Eika Gruppen etter ca. 30 dager. Finanstilsynet understreker viktigheten av at banken gjøres kjent med årsaken til hendelsene som rammer den, blant annet om de er forårsaket av en endring.
Selv om oppfølging av utkontraktert IKT-virksomhet er beskrevet i bankens ‘Retningslinjer for utkontraktering’ mener Finanstilsynet at banken, sett i lys av sin absolutte leverandøravhengighet på IKT-området, bør ha en egen rutine for oppfølging av utkontraktert IKT-virksomhet som i større detalj beskriver rapporteringene fra leverandøren (frekvens, innhold, med mer) og hvordan banken skal vurdere den mottatte informasjonen.
Finanstilsynet understreker videre at informasjonssikkerhetsscenarioer må inngå i beredskapstestingen.
Om tilsynsrapporter og vedtak
Finanstilsynet gjennomfører tilsyn hos foretak eller personer som driver konsesjonsbelagt virksomhet. Etter et tilsyn oppsummerer Finanstilsynet hovedfunnene i en tilsynsrapport. Tilsynsrapporten blir sendt til foretaket/personen og publiseres på Finanstilsynets nettsted.
Hvis foretaket har brutt regelverket, kan vi fatte et vedtak rettet mot foretaket. Dette vil i så fall framgå av tilsynsrapporten. Et vedtak kan være å:
- pålegge foretaket/personen å rette opp i forhold
- ilegge overtredelsesgebyr
- trekke tilbake en tillatelse
Hvilke former for vedtak Finanstilsynet fatter avhenger av hvilke regler som er brutt.
Hvis foretaket/personen klager på vedtaket fra Finanstilsynet, vil saken over bli oppdatert med informasjon om det.