25. mai la Finanstilsynet ut rapport om stedlig IKT-tilsyn hos Sparebank 1 Nord-Norge 13. januar 2023. 

Tilsynet ønsket å gjøre en «vurdering av foretakets beredskapsarbeid relevant for IKT-området, herunder vurdere beredskapen i banken og for utkontrakterte IKT-tjenester, samt at regulatoriske krav på dette området overholdes.»

I foreløpig rapport pekte tilsynet på at bankens IKT-strategi i stor grad er rettet mot bankens arbeid med teknologi, og da særlig hvordan banken skal forholde seg til arbeid med teknologi i Sparebank 1-alliansen, og i liten grad underbygger kundefokuset det pekes på i forretningsstrategien.

I tilsynet gikk Finanstilsynet også gjennom bankens beskrivelse av systemeier-rollen og pekte på at systemeierne av bankens IKT-systemer er organisert i bankens IKT-organisasjon. Ifølge Finanstilsynet bør systemeierskap ligge i forretningsenheten med systembehovet og være forankret på ledernivå.

Når det gjelder rapportering av IKT-risiko understreker Finanstilsynet at det «forventes at banken gjennomfører egne vurderinger av bankens utkontrakterte tjenester og de prosesser leverandøren benytter for å understøtte IKT-leveransene til banken. 

«Finanstilsynet pekte i foreløpig rapport på at tilgangslogger som følge av oppslag på databasenivå ikke i tilstrekkelig grad følges opp og rapporteres på av IKT-tjenesteleverandør. Videre ble det pekt på at det er viktig at banken har kontroll med leverandørens tilganger og gjennomfører en effektiv overvåking av data som blir aksessert i systemet. Videre må banken ha kontroll med hvilke av leverandørens brukere som har tilgang til sensitive data, og kunne dokumentere dette», skriver Finanstilsynet i tilsynsrapporten.

Det framgår av styrets svar at de er enig i at det er behov for tiltak knyttet til oppfølging av tilganger hos leverandører og at banken har iverksatt tiltak for å bedre oppfølgingen.