Norge tvinger redegørelser frem

Havde det store IBM-nedbrud 9. april påvirket norske banker, ville vi formentlig vide meget mere om nedbruddet. I Norge skal rapporter om it-nedbrud i den finansielle sektor nemlig offentliggøres.

Artikel top billede

"Man har lagt mange æg i samme kurv. Vi viser, at det kan være en koncentrations-risiko," siger Frank Robert Berg, chef for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

IT-kæmpen IBM har nu i seks uger haft held til at mørklægge detaljerne i det massive nedbrud som ramte blandt andet den internationale it-koncerns finanskunder 9. april i år.

Men hvis følgerne af nedbruddet havde haft indflydelse på norske pengeinstitutter, havde offentligheden formentlig kendt til langt flere detaljer omkring det massive nedbrud, som ud over Danske Bank også ramte storkunder som Carlsberg, DSV og Arla.

Den norske lovgivning pålægger nemlig nabolandets pendant til Finanstilsynet at offentliggøre årsager og redegørelser af større it-nedbrud i finansbranchen af hensyn til gennemsigtigheden, fordi princippet om gennemsigtighed i sig selv har en præventiv og positiv virkning.

Det fortæller Frank Robert Berg, der er chef for sektionen for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

“Kredittilsynet har en offentlig oplysningspligt. Alle endelige rapporter er faktisk offentlige,” siger Frank Robert Berg.

Pligten til offentliggørelse bunder i den norske offentlighedslov. Hensigten med loven er, at myndigheder ikke skal hemmeligholde ting, der ikke behøver hemmeligholdes. Og det at undtage information fra offentligheden må begrundes i loven, fortæller sektionschefen.

I Danmark er situationen den modsatte. Her må Finanstilsynet ikke offentliggøre rapporter og redegørelser om it-nedbrud af konkurrencemæssige hensyn.
Men i Norge har man altså valgt fuld indsigt i redegørelserne. Og det sker selvom sandheden både kan gøre ondt på den ramte virksomhed og have store økonomiske konsekvenser i form af kursudsving og store skader på renommeet hos den berørte virksomhed.

Norsk forvaltningslov

“Hvis der ikke foreligger en saglig begrundelse for at undtage information fra offentligheden, er det at aktiekursen kan påvirkes ikke i sig selv en begrundelse,” siger Frank Robert Berg.

Det er den norske forvaltningslov, som pålægger Kredittilsynet og andre offentlige institutioner en hvis grad af offentlighed. I særlige tilfælde kan Kredittilsynet alligevel tilbageholde oplysninger, eksempelvis af hensyn til beskyttelse af persondata, eller særligt følsomme konkurrenceforhold. Men så skal årsagen begrundes i henhold til særlige lovregler, fortæller Frank Robert Berg.

Samtidig indførte Norge i november sidste år et rapporteringssystem, som pålægger banker og pengeinstitutter at rapportere alle hændelser ved it-nedbrud til kredittilsynet.

Bekymret for afhængighed

Selv om Norges finanssektor ikke blev direkte ramt af det massive nedbrud 9. april bekymrer hændelsen alligevel det norske Kredittilsyn. Problemet er, at den Norske finansbranche efterhånden er temmelig afhængig af IBM, der driver stadigt flere nordiske bankers it-systemer, fortæller Frank Robert Berg.

I myndighedens nyeste Risiko- og sårbarhedsanalyse peger Kredittilsynet på IBM’s drift af en lang række nordiske banker, som kan repræsentere en koncentrationsrisiko.

“Nu har man lagt mange æg i den samme kurv. Og vi viser, at det kan være en koncentrationsrisiko,” siger Frank Robert Berg.

I øjeblikket står IBM eksempelvis bag driften af Nordea Bank Norge samt Danske Banks datterselskab Fokus Bank i Norge. Desuden drifter IBM gennem danske SDC (Skandinavisk Data Center) de norske Terra banker, som består af mange mindre sparekasser.

Ifølge Frank Robert Berg har stort set alle pengeinstitutter i praksis outsourcet driften af deres it-systemer til eksterne firmaer, og den virkelighed må Kredittilsynet som kontrolinstans navigere i.

Ingen hjemmel i Danmark

Derfor kan Kredittilsynet i modsætning til det danske Finanstilsyn gå direkte til leverandører for at kontrollere sikkerheden. Den mulighed sikres gennem kredittilsynets IKT-forskrift, der gælder for hele finanssektoren. Den pålægger eksempelvis bankerne at sikre Kredittilsynet mulighed for at inspicere leverandøren i kontrakterne, hvis de outsourcer driften. Dette gælder også for IBM.

I Danmark har Finanstilsynet ikke hjemmel til direkte at tage kontakt til leverandøren. Men hvis banken har outsourcet driften, kan Finanstilsynet i stedet for at kontrollere sikkerheden hos leverandøren tage kontakt til kunden.

“Banken er pålagt at regulere aftalen med leverandøren, så Kredittilsynet har ret til at inspicere leverandørens leverancer til banken,” siger Frank Robert Berg.

Læses lige nu

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS