Finanssivalvonta on arvioinut sijoituspalveluyritysten IT- ja tietoturvariskien hallintaa

Finanssivalvonta teki talvella 2022 teema-arvion sijoituspalveluyritysten IT- ja tietoturvariskien hallinnasta. Teema-arvion perusteella havaitut puutteet toiminnassa eivät Finanssivalvonnan käsityksen mukaan vaikuta merkittävästi yritysten riskitasoon.

Teema-arvio perustui yrityksiltä saatuihin vastauksiin, jotka koskivat kysymyksiä IT-toiminnan organisoinnista ja IT- ja tietoturvariskien hallinnoinnista. Kysely laadittiin Finanssivalvonnan Määräykset ja ohjeet 8/2014 ”Operatiivisen riskin hallinta rahoitussektorin valvottavissa” perusteella.

Yritysten kyselyyn antamien vastausten perusteella sijoituspalveluyritysten

• IT- ja tietoturvariskien hallinta on järjestetty osana operatiivisten riskien hallintaa.
• riskienhallinnan prosessit on määritelty ja yritykset ovat järjestäneet IT-riskien ja tietoturvariskien hallinnan keskeiset osa-alueet toiminnan laajuuden huomioiden asianmukaisesti.
• yksittäisillä yrityksillä tuli esille joitakin puutteita prosessien ja kontrollien järjestämisessä, mutta näiden puutteiden ei voi katsoa nostavan riskitasoa merkittävästi.

Kyselyn perusteella kävi ilmi yksittäisiä puutteita joidenkin IT-riskien hallintaan liittyvien määräysten noudattamisessa (kriittisten tietojärjestelmien priorisointi, tietojärjestelmien ja tiedon omistajien määrittely, jatkuvuussuunnitelmien kattavuus ja niiden testaus). Nämä puutteet eivät yritysten toiminnan koon takia välttämättä vaikuta merkittävästi yritysten kykyyn hallita IT-riskejä. Yrityksiä, joilla puutteita havaittiin, on kehotettu korjaamaan nämä puutteet toiminnassaan. Finanssivalvonta on kehottanut myös kaikkia valvottaviaan tehostettuun kyberturvallisuuden seurantaan valvottavatiedotteella 4.3.2022.

Lisätietoja antaa

Pasi Korhonen, johtava riskiasiantuntija, puhelin 09 183 5514 tai pasi.korhonen(at)finanssivalvonta.fi