Den finansielle sektor står over for et mere komplekst og farligt trusselsbillede end nogensinde før.
Det fastslår Nationalbanken i sin seneste analyse af den finansielle stabilitet, hvor især cyberrisici, leverandørafhængighed og behovet for kvantesikker kryptering fylder.
Ifølge analysen er cyberangreb og truslen fra cyberspace stadig blandt de mest alvorlige risici for den finansielle stabilitet i Danmark, og det er et trusselsbillede i hastig udvikling.
"Flere forhold, herunder brugen af hybride virkemidler, er med til at gøre trusselsbilledet mod Danmark mere komplekst. I særligt alvorlige situationer kan operationelle hændelser true den finansielle stabilitet," skriver Nationalbanken.
Ifølge Styrelsen for Samfundssikkerhed (Samsik) er cybertruslen mod den finansielle sektor fortsat høj, og stadig flere cyberangreb fører til faktiske alvorlige hændelser i den finansielle sektor.
Data fra Den Europæiske Banktilsynsmyndighed viser samtidig, at andelen af banker, der har registreret cyberangreb, der fører til betydelige hændelser, er steget fra 25 procent i første halvår af 2024 til 35 procent i andet halvår af 2024.
AI og kvantecomputere skaber nye angrebsfronter
Udviklingen inden for både AI og kvantecomputere fremhæves som særligt bekymrende.
AI anvendes i stigende grad til sofistikerede cyberangreb, mens kvanteteknologi truer med at underminere den kryptering, som i dag beskytter finansielle systemer og data.
Nationalbanken bakker derfor op om EU-Kommissionens anbefaling om, at kritisk infrastruktur – herunder den finansielle sektor – bør være sikret med kvantesikker kryptering hurtigst muligt og senest i 2030.
"Forberedelsen af implementering af kvantesikker kryptering bliver fulgt i FSOR," lyder det med henvisning til det offentlig-private samarbejdsforum Finansielt Sektorforum for Operationel Robusthed.
Nets-nedbrud bruges som læringscase
Og selvom Nationalbanken i sin analyse skriver, at robustheden generelt er høj i den finansielle sektor, så er der nogle områder, hvor den kan styrkes.
Et eksempel på denne operationelle sårbarhed, der fremhæves i analysen, er driftsforstyrrelsen hos Nets i juli 2025, hvor digitale betalinger i Danmark var nede i tre timer.
Det har blandt andet ført til et påbud fra Finanstilsynet til Nets og øget fokus på det nationale betalingsberedskab, der blandt andet omfatter muligheden for offline-betalinger med både kort og mobiltelefon.
Målet er, at alle voksne danskere i krisesituationer skal kunne betale for fødevarer og medicin i mindst en uge, selv hvis de digitale løsninger fejler eller er nede.
Ifølge Nationalbanken skal den finansielle sektor også være forberedt på at håndtere ekstreme, men plausible scenarier, hvor en central aktør i det finansielle system rammes af et længerevarende nedbrud, eller hvor kritiske data er kompromitteret, ændret eller på anden vis ødelagt.
"Undersøgelsen indikerer, at de centrale aktører i den finansielle sektor har forberedt sig grundigt på at håndtere driftsafbrydelser o.l. ved at udarbejde og teste planer for forretningsvidereførelse og genoprettelse af systemer og data," lyder det i den forbindelse.
Ifølge analysen er planerne dog ikke altid tilstrækkelige til at sikre fortsat drift og hurtig genopretning af systemer og data i ekstreme, plausible scenarier, lyder det videre.
Manglende exit-strategier og svag leverandørstyring
Et andet kritisk punkt i analysen er afhængigheden af it-leverandører.
Nationalbanken vurderer, at de centrale aktører i den finansielle sektor har overblik over deres leverandører og kontrakter, men flere aktører i sektoren mangler på den anden side gennemarbejdede exit-strategier, som skal kunne aktiveres, hvis en leverandør kompromitteres eller på anden vis svigter.
Det gælder især i tilfælde, hvor der ikke findes oplagte alternativer til eksempelvis de amerikanske cloud- eller softwareudbydere, må man læse ud af teksten fra Nationalbanken.
"Det kan være vanskeligt at finde alternative leverandører – særligt hvis man ønsker at undgå risikoen ved udelukkende at være afhængig af leverandører fra et bestemt geografisk område."
It-ledelsen har fået opgaven, men det er stadig ikke nok
I analysen noterer Nationalbanken med tilfredshed, at flere virksomhedsledelser i dag tager ansvar for cybersikkerheden og prioriterer området højere.
Men der er stadig aktører, som ikke er godt nok forberedte på "ekstreme, men plausible scenarier", hvor eksempelvis kritiske data korrumperes, eller infrastrukturen bryder ned.
"Ledelsesengagement er en forudsætning for en tilstrækkelig ressourceallokering og prioritering af robusthed i virksomheden," lyder det i analysen.
