Vedlegg 1: Foretakenes vurdering av sårbarhet

Publisert: 7. mai 2024

Vedlegg til rapporten Risiko- og sårbarhetsanalyse (ROS) 2024.

Foretakenes vurdering av sårbarhet

Nedenfor oppsummeres betalingstjenestetilbyderes vurdering av operasjonell risiko og sikkerhetsrisiko med utgangspunkt i deres årlige rapportering til Finanstilsynet, samt andre foretaks vurderinger av risiko og sårbarhet knyttet til IKT-virksomheten.[1]

Oppsummeringen er inndelt i ni tema og omfatter vurderinger fra 354 foretak:

  1. Styring og kontroll
  2. Integritet
  3. Endringshåndtering
  4. Drift
  5. Sikkerhet
  6. Beskyttelse av data
  7. ID-tyveri
  8. Interne misligheter
  9. Hvitvasking

Foretakene bes om å vurdere situasjonen/modenheten i foretaket for hver av risikoene beskrevet i skjemaet, og angi om foretaket anser at risikoen er svært høy, høy, moderat eller lav. Dersom risikoen anses å være høy, bes foretaket angi årsaken. Foretakene bes også angi om risikoen anses å være økende, minkende eller stabil, og kort omtale hvilke tiltak som er satt i verk i løpet av det siste året og om tiltakene anses tilstrekkelige. I tillegg bes foretakene å angi forhold med høyest risiko. Nærmere beskrivelse om utfyllingen av spørreskjemaet er gjengitt under tabellene.

Tabellene oppsummerer resultatet av spørreundersøkelsen. Foretakenes svar er angitt med fargekoder. Grønt gir uttrykk for lav sårbarhet, gult innebærer middels sårbarhet, brunt uttrykker høy sårbarhet og rødt svært høy sårbarhet. Ingen farge innebærer at foretak ikke har svart.

Trenden, dvs. om sårbarhetene anses å være økende, stabile eller minkende, kommer til uttrykk i kolonnen lengst til høyre i tabellene og er et gjennomsnitt av foretakenes vurderinger. En horisontal pil (der intervallet er -0,2 til +0,2) indikerer en stabil trend. Piler som peker opp, indikerer at sårbarheten anses å være økende (intervallet +0,2 til +1), og piler som peker nedover, indikerer at sårbarheten anses å være minkende (intervallet -0,2 til -1). For hvert spørsmål er det beregnet et aritmetisk gjennomsnitt av foretakenes svar.

[1] Se forskrift om systemer for betalingstjenester § 2, tredje ledd og Finanstilsynet har i tillegg bedt et utvalg av andre foretak om deres vurderinger av risiko og sårbarhet knyttet til IKT-virksomheten. Rapporteringsfristen var 31. januar 2024. 

Fargematrise

 

Vedlegg og rapport