Risiko- og sårbarhetsanalyse (ROS) 2025

Nyheter

Publisert: 15. mai 2025

Det digitale trusselbildet er høyt og påvirkes av geopolitiske endringer. God beredskap er avgjørende for å håndtere alvorlige hendelser og må kontinuerlig utvikles. For finanssektoren er sårbarheter knyttet til forsvarsverk mot digital kriminalitet, foretakenes styringsmodeller for IKT-løsninger og mangelfull leverandørstyring de mest sentrale risikoene. Samlede tap ved svindel i 2024 var 1 227 millioner kroner, en økning på 32 prosent.

I 2024 var det ingen IKT-hendelser med konsekvenser for finansiell stabilitet, og det ble rapportert færre alvorlige hendelser enn i 2023.

– Den finansielle infrastrukturen i Norge er robust, og tilgjengeligheten til finansielle tjenester er tilfredsstillende. Beredskapen er god, men må kontinuerlig utvikles i takt med endringer i trusselbildet. Alvorlig svikt i IKT-systemer kan true den finansielle stabiliteten og påvirke samfunnssikkerheten, sier seksjonsleder Olav Johannessen i seksjon for IT og betalingstjenester.

Høyt trusselnivå

Det digitale trusselnivået er høyt, og det er i kontinuerlig endring. Trusselbildet og geopolitiske endringer gjør foretakenes sikkerhets- og beredskapsarbeid både viktigere og mer utfordrende enn tidligere. Kriminelle aktører utvikler nye metoder, samhandler på nye måter og tar i bruk ny teknologi.

– Trusselen mot kritisk infrastruktur, inkludert finansiell infrastruktur, har økt som følge av endrede geopolitiske spenninger. Foretakene må vurdere hvordan det endrede trusselbildet påvirker deres virksomhet og tjenesteyting, hvilke konsekvenser det gir for IKT-risikoen og om det er behov for tiltak, sier Johannessen.

Geopolitiske endringer utfordrer også foretakenes valg av IKT-tjenesteleverandører.

– Foretakene må vurdere egen konsentrasjonsrisiko samt ta stilling til sin risikoeksponering knyttet til bruk av skytjenester, særlig når europeiske alternativer mangler, sier Johannessen.

Økende tap ved svindel

Tap som følge av svindel fortsetter å øke. Gjennom sine systemer og kontroller forhindrer foretakene samtidig et økende antall svindeltransaksjoner.

– Økningen i svindelaktiviteten tilsier at foretakene fortsatt må legge ned betydelig innsats i antisvindelarbeidet, sier Johannessen.

Se rapport om svindel og svindelstatistikk

Mangler og sårbarheter knyttet til foretakenes IKT-virksomhet

Tilsynsvirksomheten i 2024 avdekket svakheter og sårbarheter i foretakenes oppfølging av IKT-virksomheten, blant annet knyttet til oppfølging av leverandører. Komplekse leverandørkjeder, med flere leverandører og underleverandører i verdikjeden, øker faren for verdikjedeangrep og operasjonelle hendelser i flere ledd.

– Finanstilsynet anser sårbarheter ved foretakenes forsvarsverk mot digital kriminalitet som den mest sentrale risikoen knyttet til foretakenes bruk av IKT, der den samlede risikoen anses å fortsatt være høy og noe økende, sier Olav Johannesen.

Sårbarheter knyttet til tilgangsstyring, styringsmodell og internkontroll samt leverandørstyring er også sentrale risikoer.

Det enkelte foretak i finanssektoren har et selvstendig ansvar for å sikre egne systemer mot tilsiktede og utilsiktede hendelser. Foretakenes arbeid med IKT-sikkerhet må fortsatt gis høy oppmerksomhet.