Det svenske finanstilsyn (Finansinspektionen) har for nylig tildelt bøder på hhv. 30 og 25 millioner svenske kroner til de svenske selskaber Nasdaq Stockholm AB og Nasdaq Clearing AB (Nasdaq Sverige). Bøderne blev givet, fordi Nasdaq Sverige ikke havde sikret sig tilstrækkeligt imod risiciene for cyberangreb og ikke havde kontrol med kvaliteten af de ydelser, som deres outsourcingleverandør – moderselskabet Nasdaq, Inc. (Nasdaq US) – leverede. Nasdaq Sverige har appelleret bøderne.
SAGEN KORT
Nasdaq Sverige er, ligesom finansielle virksomheder i Danmark, underlagt krav i forbindelse med deres outsourcingaktiviteter, herunder i forhold til 1) hvad der kan outsources, og 2) outsourcingaftalens udformning og den løbende kontrol hermed. Det er netop disse to forhold, som det svenske finanstilsyn ikke mener, at Nasdaq Sverige har levet op til.
Nasdaq Sverige har i dag outsourcet dele af deres IT, herunder IT-sikkerhed, til Nasdaq US. Outsourcingen er baseret på to generelle aftaler, der summarisk beskriver de leverede ydelser og giver Nasdaq Sverige begrænsede muligheder for at overvåge og kontrollere kvaliteten af ydelserne over for Nasdaq US. Det svenske finanstilsyn vurderede, at Nasdaq US' risk management og business continuity-planer ikke tager tilstrækkeligt højde for risikoen for cyberangreb, eller de procedurer, der skal iværksættes i tilfælde af, at Nasdaq Sverige bliver ramt af et angreb. Tilsynet lagde i den forbindelse også vægt på, at planerne er af generel karakter, og ikke tager højde for lokale svenske forhold.
KONTROLLEN SKÆRPES
Samlet takserer det svenske finanstilsyn overtrædelserne til bøder på hhv. 30 og 25 millioner svenske kroner, men lader dog Nasdaq Sverige beholde deres tilladelser. Ved bødefastsættelsen er der blandt andet taget højde for de faktiske og potentielle konsekvenser på det finansielle system, som overtrædelsen har haft og kunne have haft. Nasdaq Sverige har appelleret bøderne til Förvaltningsrätten i Stockholm.
Afgørelsen nævner derudover, at outsourcing til et moderselskab ikke giver carte blanche til at læne sig tilbage og se til i den tro, at moderselskabets IT-sikkerhed og business continuity-planer er tilstrækkelige, hvis ikke de konkret tager højde for den outsourcende virksomheds forhold og aktiviteter, og tilpasses hertil. Outsourcingvirksomhedens forpligtelse til at kontrollere kvaliteten af de leverede ydelser, forsvinder heller ikke, fordi det er moderselskabet, der leverer ydelserne.
EN GOD KONTRAKT ER ET MUST
De regler, det svenske finanstilsyn har udstedt bøderne på baggrund af, bygger på EU-lovgivning, som også gælder i Danmark. Hertil kommer, at såvel clearingcentraler, børser og finansielle virksomheder i Danmark er underlagt reglerne i outsourcingbekendtgørelsen, der ved outsourcing af væsentlige aktivitetsområder stiller skærpede krav til outsourcingkontrakten, og hvad den outsourcende virksomhed skal sikre sig fra en outsourcingleverandør.
Finansielle virksomheder mm., der ønsker at outsource, skal således blandt andet sikre sig, at kontrakten klart beskriver de outsourcede ydelser og giver mulighed for at overvåge kvaliteten, herunder gennem løbende rapportering og underretning. I lyset af det svenske finanstilsyns afgørelse er der ingen tvivl om vigtigheden af, at man som finansiel virksomhed har fokus på de særlige krav, der gælder ved outsourcing, når man udarbejder outsourcingkontrakter – også selvom det blot sker til et koncernselskab. Se også vores artikel:
Finanstilsynet uddyber krav til finansielle virksomheders cloud-løsninger.
Læs de to afgørelser fra det svenske finanstilsyn:
Nasdaq Stockholm AB
Nasdaq Clearing AB
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →