Få overblikket: Her begår Nets alvorlige fejl med it-sikkerheden

Finanstilsynet har gennemgået it-sikkerheden i Nets og fundet masser af huller. Her har vi samlet de områder, hvor Nets dumper i it-sikkerhed.

Artikel top billede

(Foto: Povl D. Rasmussen)

Siden 2014 har Finanstilsynet arbejdet på en gennemgang af it-sikkerheden i Nets. 

I midten af denne uge faldt dommen, der har udløst en massiv kritik af virksomheden, som blandt andet administrerer NemID og digitale betalinger i Danmark.

Vi har samlet de konkrete kritikpunkter nedenfor, så du kan få et overblik over hvilke områder, der halter i Nets' it-sikkerhed.

Seks indsatsområder

Finanstilsynet har gennemtrevlet udvalgte dele af Nets it-systemer og -politikker og har i rapporten set på følgende seks områder:

- Den generelle sikkerhedsstyring
- Strategi
- Organisation
- Beredskabsplaner
- Sikkerhedspolitikker
- Retningslinjer

Helt konkret har Finanstilsynet gennemgået de procedurer, som Nets anvender til styring af adgange til systemer og data, ændringshåndtering, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.

Kritikpunkter

Efter at have set Nets godt og grundigt efter i kortene er Finanstilsynet nået frem til en stribe konklusioner.

De lyder således:

Nets har ikke i tilstrækkelig grad implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af virksomheden.

Net har ikke tilstrækkelig fokus på at it-risici er synliggjorte og imødegået på tværs af Nets samt outsourcing-leverandører.

Ligeledes fortæller rapporten - uden at være meget specifik - at der er konstateret flere svagheder, hvor ledelsen i Nets fremadrettet skal sikre, at risici er tilstrækkeligt synliggjorte og imødegået.

På den positive side vurderer Finanstilsynet, at Nets har betydelig fokus på efterlevelse af krav og kontrolstandarder, herunder PCI-krav. 

Disse krav er opstillet af de internationale kortselskaber, der har udarbejdet nogle sikkerhedsstandarder, som gælder i forbindelse med alle kortbetalinger. 

Dette skal løses

Arbejdet med rapporten har udmøntet sig i en stribe påbud til Nets.

Finanstilsynet forventer således at it-sikkerhedspolitikken "tager afsæt i en dokumenteret it-risikovurdering, samt at ansvar og forventninger mellem direktion og bestyrelse, i relation til it-sikkerhedsstyringen, rapportering og ledelsesopfølgning, præciseres og implementeres."

Med andre ord skal Nets styrke sin dokumentation og ledelsens forankring i it-sikkerheden i virksomheden, der hidtil ikke har været god nok.

Fremtidens dokumentation skal blandt andet bestå i at vise, at it-sikkerhedspolitikken er tilstrækkeligt implementeret i firmaet.

Se og Hør-sagen spøger

Ligeledes skal der være en mere tydelig ansvars- og rollefordeling i forbindelse med de medarbejdere, der arbejder med it-sikkerhed og i forbindelse med de outsourcing-partnere, der håndterer opgaver for Nets.

Læs også: Ekspert: Se og Hør-sag kunne være undgået med mindre kontrol

Sidst men ikke mindst er der i forlængelse af Se og Hør-sagen blevet lagt et påbud om, at der strammes op i forbindelse med tildeling af adgange og rettigheder til systemer og data samt procedurer omkring it-sikkerhedslogning.

Til kritikken siger Nets' kommunikationschef, Karsten Anker Petersen, følgende:

"Det er vigtigt at bemærke, at Finanstilsynet ikke konkluderer, at konkrete data har været kompromitteret, eller at der har været svigt eller lignende i vores systemer."

"Finanstilsynets påbud handler primært om, at vi i højere grad skal sikre, at de rette processer er på plads, at der er dokumentation for, at risikovurderinger er anvendt, og at der sker tilstrækkelig ledelsesopfølgning i forbindelse med outsourcing. Alt dette er vi i fuld gang med at sikre, at vi efterlever."

Du kan læse redegørelsen her (PDF).

Læs også:

Nordea havnet i ny byge af it-problemer

Nets ramt af nyt løn-kaos: Men bare rolig, du skal nok få din løn i dag

Nets nedlægger hundredevis af stillinger - 220 mand skal ud

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Kontorchef til Forsvarsministeriets Materiel- og Indkøbsstyrelses CIO-kontor

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger leder til Lokal IT Servicecenter i Holstebro

Midtjylland

Netcompany A/S

Network Engineer

Københavnsområdet

Navnenyt fra it-Danmark

IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S

Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura

Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos