Norge tvinger redegørelser frem

Havde det store IBM-nedbrud 9. april påvirket norske banker, ville vi formentlig vide meget mere om nedbruddet. I Norge skal rapporter om it-nedbrud i den finansielle sektor nemlig offentliggøres.

Artikel top billede

"Man har lagt mange æg i samme kurv. Vi viser, at det kan være en koncentrations-risiko," siger Frank Robert Berg, chef for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

IT-kæmpen IBM har nu i seks uger haft held til at mørklægge detaljerne i det massive nedbrud som ramte blandt andet den internationale it-koncerns finanskunder 9. april i år.

Men hvis følgerne af nedbruddet havde haft indflydelse på norske pengeinstitutter, havde offentligheden formentlig kendt til langt flere detaljer omkring det massive nedbrud, som ud over Danske Bank også ramte storkunder som Carlsberg, DSV og Arla.

Den norske lovgivning pålægger nemlig nabolandets pendant til Finanstilsynet at offentliggøre årsager og redegørelser af større it-nedbrud i finansbranchen af hensyn til gennemsigtigheden, fordi princippet om gennemsigtighed i sig selv har en præventiv og positiv virkning.

Det fortæller Frank Robert Berg, der er chef for sektionen for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

“Kredittilsynet har en offentlig oplysningspligt. Alle endelige rapporter er faktisk offentlige,” siger Frank Robert Berg.

Pligten til offentliggørelse bunder i den norske offentlighedslov. Hensigten med loven er, at myndigheder ikke skal hemmeligholde ting, der ikke behøver hemmeligholdes. Og det at undtage information fra offentligheden må begrundes i loven, fortæller sektionschefen.

I Danmark er situationen den modsatte. Her må Finanstilsynet ikke offentliggøre rapporter og redegørelser om it-nedbrud af konkurrencemæssige hensyn.
Men i Norge har man altså valgt fuld indsigt i redegørelserne. Og det sker selvom sandheden både kan gøre ondt på den ramte virksomhed og have store økonomiske konsekvenser i form af kursudsving og store skader på renommeet hos den berørte virksomhed.

Norsk forvaltningslov

“Hvis der ikke foreligger en saglig begrundelse for at undtage information fra offentligheden, er det at aktiekursen kan påvirkes ikke i sig selv en begrundelse,” siger Frank Robert Berg.

Det er den norske forvaltningslov, som pålægger Kredittilsynet og andre offentlige institutioner en hvis grad af offentlighed. I særlige tilfælde kan Kredittilsynet alligevel tilbageholde oplysninger, eksempelvis af hensyn til beskyttelse af persondata, eller særligt følsomme konkurrenceforhold. Men så skal årsagen begrundes i henhold til særlige lovregler, fortæller Frank Robert Berg.

Samtidig indførte Norge i november sidste år et rapporteringssystem, som pålægger banker og pengeinstitutter at rapportere alle hændelser ved it-nedbrud til kredittilsynet.

Bekymret for afhængighed

Selv om Norges finanssektor ikke blev direkte ramt af det massive nedbrud 9. april bekymrer hændelsen alligevel det norske Kredittilsyn. Problemet er, at den Norske finansbranche efterhånden er temmelig afhængig af IBM, der driver stadigt flere nordiske bankers it-systemer, fortæller Frank Robert Berg.

I myndighedens nyeste Risiko- og sårbarhedsanalyse peger Kredittilsynet på IBM’s drift af en lang række nordiske banker, som kan repræsentere en koncentrationsrisiko.

“Nu har man lagt mange æg i den samme kurv. Og vi viser, at det kan være en koncentrationsrisiko,” siger Frank Robert Berg.

I øjeblikket står IBM eksempelvis bag driften af Nordea Bank Norge samt Danske Banks datterselskab Fokus Bank i Norge. Desuden drifter IBM gennem danske SDC (Skandinavisk Data Center) de norske Terra banker, som består af mange mindre sparekasser.

Ifølge Frank Robert Berg har stort set alle pengeinstitutter i praksis outsourcet driften af deres it-systemer til eksterne firmaer, og den virkelighed må Kredittilsynet som kontrolinstans navigere i.

Ingen hjemmel i Danmark

Derfor kan Kredittilsynet i modsætning til det danske Finanstilsyn gå direkte til leverandører for at kontrollere sikkerheden. Den mulighed sikres gennem kredittilsynets IKT-forskrift, der gælder for hele finanssektoren. Den pålægger eksempelvis bankerne at sikre Kredittilsynet mulighed for at inspicere leverandøren i kontrakterne, hvis de outsourcer driften. Dette gælder også for IBM.

I Danmark har Finanstilsynet ikke hjemmel til direkte at tage kontakt til leverandøren. Men hvis banken har outsourcet driften, kan Finanstilsynet i stedet for at kontrollere sikkerheden hos leverandøren tage kontakt til kunden.

“Banken er pålagt at regulere aftalen med leverandøren, så Kredittilsynet har ret til at inspicere leverandørens leverancer til banken,” siger Frank Robert Berg.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS

Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

Honey Arora

Immeo