Redegørelse om IT-inspektion i DLR Kredit | Finanstilsynet

https://www.finanstilsynet.dk/tilsyn/inspektion-og-afgoerelser/2026/apr/redegoerelse-om-it-inspektion-i-dlr-kredit

Success

Service

Specialism

2026-04-23 09:12:20 · arahman@vixio.com

Meta Id: 3090572
Content ID: 3099054
GUID: 346a9abd1eedfd39e06956ba1c532d27

Finanstilsynet gennemførte en IT-inspektion i DLR Kredit A/S i efteråret 2025. Formålet med inspektionen var at undersøge instituttets styring af IT-sikkerhedsområdet, som er reguleret i forordning om digital operationel modstandsdygtighed i den finansielle sektor (DORA).

Pipeline Progress

🔄 Pipeline Journey

⏱ 23s total

✓

Queued 09:11:56

+0s

✓

Metadata 09:11:56

+0s

✓

S3 Content 09:11:56

+0s

✓

Extracted 09:11:56

+13s

✓

LLM Gen 09:12:09

+10s

✓

Stored 09:12:19

TITLE: Denmark's Financial Supervisory Authority Issues Compliance Orders to DLR Kredit Following IT Security Inspection BODY: On April 22, 2026, Denmark's Financial Supervisory Authority (Finanstilsynet) published an inspection report following an IT security inspection of DLR Kredit A/S conducted in autumn 2025. The inspection examined the institution's governance of IT security as regulated under the Digital Operational Resilience Act (DORA). Finanstilsynet identified significant deficiencies across five critical areas of IT governance. DLR Kredit lacks a clearly defined and well-documented IT risk management framework, with unclear responsibility allocation between first and second lines of defence. The institution's IT preparedness governance is fragmented across multiple documents and organisational units, resulting in unclear accountability and incomplete business continuity and disaster recovery plans. Third-party risk management is inadequate, with not all critical third-party services risk-assessed and no uniform supplier monitoring methodology. IT incident management classification procedures are insufficient, and the digital operational resilience testing programme does not cover all relevant systems and critical suppliers. These deficiencies present elevated IT risk, particularly regarding the identification and timely handling of material vulnerabilities and the potential for operational disruptions affecting DLR Kredit's customers and their ability to deliver mortgage services. Finanstilsynet has issued five compliance orders requiring DLR Kredit to ensure adequate governance across IT risk management, IT preparedness, third-party risk management, IT incident management, and digital operational resilience testing. These orders reference specific provisions of DORA (Articles 5, 6, 9, 11, 12, 18, 24–25, and 28–29) and related regulatory technical standards (RTS 2024/1772, RTS 2024/1774). **Reference:** Finanstilsynet Inspektionsredegørelse – Redegørelse om IT-inspektion i DLR Kredit (April 22, 2026)

Redegørelse om IT-inspektion i DLR Kredit | Finanstilsynet Inspektionsredegørelse Redegørelse om IT-inspektion i DLR Kredit 22-04-2026 Finanstilsynet gennemførte en IT-inspektion i DLR Kredit A/S i efteråret 2025. Formålet med inspektionen var at undersøge instituttets styring af IT-sikkerhedsområdet, som er reguleret i forordning om digital operationel modstandsdygtighed i den finansielle sektor (DORA). Sammenfatning og risikovurdering Finanstilsynet vurderer, at DLR Kredit har mangler på væsentlige områder indenfor instituttets styring af IT-risici, IT-beredskab, IT-tredjepartsrisici, IT-hændelser og test af digital operationel modstandsdygtighed. Disse mangler indebærer en forhøjet IT-risiko. Finanstilsynet har derfor givet DLR Kredit en række påbud om at sikre en tilstrækkelig styring af områderne. DLR Kredit har mangler i sin IT-risikostyring. Instituttet har ikke etableret en klart defineret og veldokumenteret ramme for IT-risikostyring, og strategien for digital operationel modstandsdygtighed er ikke tilstrækkelig. Rammen og instituttets gennemgang heraf er ikke tilstrækkelig klar. Der er uklarhed om ansvarsfordelingen mellem første og anden forsvarslinje i relation til IT-risikostyringsrammen, og informationssikkerhedspolitikken er ikke tilpasset DLR Kredits risikoprofil. Kontrolprocedurerne er ikke tilpasset i henhold til kravene i DORA. Det kan medføre en risiko for, at væsentlige IT-risici ikke identificeres, vurderes eller håndteres tilstrækkeligt, og at bestyrelsen ikke har det nødvendige grundlag for at føre tilsyn. DLR Kredit har derfor fået påbud om at sikre, at styringen af IT-risici er tilstrækkelig [1] . DLR Kredit har mangler i styringen af IT-beredskabet. Kravene til IT-beredskab er fordelt på flere dokumenter og organisatoriske enheder, hvilket medfører uklarhed om ansvarsfordeling og rolleplacering. Beredskabsplanerne mangler tydelige tidshorisonter og genopretningsniveauer, og BIA-processen (processen for forretningskonsekvensanalyse) er ikke tilstrækkeligt kvalitetssikret. BCP’er (forretningskontinuitetsplaner) og DRP’er (genopretningsplaner) er ikke tilstrækkeligt operationelle, og der er ikke tilstrækkeligt overblik over eller adgang til DRP’er for alle kritiske og væsentlige IT-leverandører. Test af beredskabsplaner er ikke tilstrækkeligt helhedsorienteret, og der mangler systematisk opfølgning på, om beredskabsmålsætningerne kan realiseres i praksis. Disse forhold kan i yderste konsekvens medføre driftsforstyrrelser, som påvirker de pengeinstitutter, der er DLR Kredits kunder, og deres mulighed for at levere realkreditydelser. DLR Kredit har fået påbud om at sikre, at styringen af IT-beredskabet er tilstrækkelig [2] . DLR Kredit har mangler i styringen af tredjepartsrisici. Ikke alle tredjepartsleverancer, der understøtter kritiske funktioner, er risikovurderet, og der mangler en ensartet metode til kontrol og overvågning af leverandører. Leverandørrelaterede risici indgår ikke systematisk i den samlede IT-risikoprofil, og der er ikke fastlagt en tidsplan for opdatering af centrale kontraktbestemmelser. Der mangler desuden udarbejdelse og test af exitplaner for alle kritiske leverandører. Det kan medføre en risiko for, at væsentlige risici ved eksterne leverandører ikke identificeres eller håndteres rettidigt. DLR Kredit har fået påbud om at sikre, at styringen af tredjepartsrisici er tilstrækkelig [3] . DLR Kredit har mangler i styringen af IT-hændelser, herunder i forhold til klassificering af hændelser. Instituttet har derfor fået et påbud om at sikre, at styringen af IT-hændelser er tilstrækkelig [4] . DLR Kredit har mangler i test af digital operationel modstandsdygtighed. Testprogrammet dækker ikke alle relevante systemer og kritiske leverandører, og der mangler klare krav til testtyper, testfrekvens og opfølgning. Metoden for vurdering og håndtering af sårbarheder er utilstrækkelig, og risikovurdering af sårbarheder er ikke dokumenteret. Det kan medføre en risiko for, at væsentlige sårbarheder eller svagheder ikke identificeres og håndteres rettidigt. DLR Kredit har fået påbud om at sikre, at test af digital operationel modstandsdygtighed er tilstrækkelig [5] . [1] DORA art. 6, stk. 1-5, stk. 8, og DORA art. 9, og RTS 2024/1774 art. 1-2, 6 og 27. [2] DORA, art. 11-12 og RTS 2024/1774, art. 26, stk. 2 [3] DORA art. 5, stk. 3 og art. 28-29 [4] DORA art. 18, stk. 1 og RTS 2024/1772 [5] DORA art. 24-25 og RTS 2024/1774 art. 10 Du bestemmer over dine data Denne hjemmeside benytter cookies fra tredjepart til besøgsstatistik. Vælger du "Accepter alle", giver du samtykke til at tredjepartsservices må gemme oplysninger om dit besøg. Læs mere om cookies Accepter alle Afvis alle Søg Søg Ryd Vis kun eksakte resultater Alle Sider Nyheder Sortering efter relevans Sortering efter dato Load More

✓ Scraped:2026-04-23 09:12:20
✓ Created:2026-04-23 09:12:19
✓ By:arahman@vixio.com (35)