Förvaltningsrätten beslutar återigen att Finansinspektionen inte hade rätt att ingripa mot Nasdaq Stockholm eller Nasdaq Clearing, som fick sanktionsavgifter om totalt 55 miljoner kronor år 2016.
Finansinspektionen utdelade anmärkningar där man kritiserade Stockholmsbörsens informationssäkerhet och hantering av cyberrisker och gav Nasdaq Clearing och Nasdaq Stockholm sanktionsavgifter om 25 respektive 30 miljoner kronor.
Nu får Stockholmsbörsen rätt mot FI. Förvaltningsrätten uppger i en färsk dom att FI:s böter saknade laglig grund.
Styrelsen
Finansinspektionen har bland annat pekat på iakttagelser som ”handlar om att Nasdaq Stockholms styrelse, i samband med utkontrakteringen av tjänster till InfoSec, inte har haft kontroll på de risker som denna utkontraktering har varit förenad med”.
Finansinspektionen har vidare ”gjort bedömningen att InfoSec har saknat information om lokala riskförhållanden i sitt arbete med informationssäkerhet och att det därmed har funnits en risk för att koncernens informationssäkerhetsarbete inte har varit anpassat för svenska förhållanden”.
FI har pekat på ”att även om cyberrisker till sin natur är gränslösa, så kan hotbilden mot ett svenskt infrastrukturföretag vara olik den mot ett amerikanskt, exempelvis med avseende på vem som skulle kunna vilja angripa företaget”.
Bolagets vd har haft kompetens
Stockholmsbörsen har uppgett att det har funnits utförliga beskrivningar av tjänstenivåer, så kallade Service Level Agreement, avseende outsourcingen av IT-leveranser. Där finns parametrar som är direkt relevanta för hanteringen av cyberrisker, exempelvis krav på produktionssystemets tillgänglighet, responstid, incidenthantering med mera, med krav på rapportering avseende utförandet av tjänsterna, inklusive orsaker till eventuella avbrott eller driftstopp.
Bolagets vd har har haft tillräcklig kompetens och expertis för att utvärdera kvaliteten på de tjänster som tjänsteleverantörerna levererar och övervaka de outsourcade funktionerna, enligt Nasdaq Stockholm.
Vidare uppger Nasdaq Stockholm att sedan i vart fall september 2015 har informationssäkerhetsrelaterade ämnen rapporterats till styrelsen. Rapporter har även gått kvartalsvis till bolagets lokala riskforum. Därutöver har incidentrapportering avseende IT-leveransen skett dagligen, veckovis eller vid behov.
”Vad gäller hotbildsinformation relaterad till Sverige och Norden har InfoSec haft informella kontakter med relevanta intressenter. InfoSec och bolaget har härigenom sett till att ha tillgång till ett lokalt och regionalt riskperspektiv”.
FI:s böter har underkänts tidigare
Redan i maj 2018 underkände förvaltningsrätten FI:s böter med motiveringen att sanktionerna inte är proportionerliga, det vill säga bryter mot proportionalitetsprincipen. FI överklagade domen till kammarrätten som undanröjde tingsrättens dom och beslutade att skicka tillbaka målet till förvaltningsrätten för en ny bedömning.
Förvaltningsrätten har alltså återigen prövat FI:s böter och återigen får FI kritik av domstolen. Förvaltningsrätten kommer fram till att FI inte har klarlagt att Nasdaq Stockholm eller Nasdaq Clearing har överträtt någon av bestämmelserna LV eller i någon annan författning som reglerar bolagets verksamhet. Det har därmed saknats laglig grund för FI att ingripa mot bolaget.
Förvaltningsrätten konstaterar bland annat att parterna i delen som rör styrelsens kontroll på risker, har olika uppfattningar om vilken information styrelsen har haft tillgång till.
”Enligt förvaltningsrätten framgår det dock inte av bakomliggande föreskrifter att bolagets styrelse ska ges tillgång till sådan information som Finansinspektionen har hänvisat till. Finansinspektionen bedöms därmed inte ha klarlagt att Nasdaq Stockholm har åsidosatt sina skyldigheter”.
FI har inte bemött alternativa system
I den delen som FI kritiserat Nasdaq Stockholm för att ha ”saknat ett ändamålsenligt verktyg för att hantera och rapportera om cyberrisker samt att den riskinformation som bolaget har haft tillgång till inte gett en allsidig och saklig bild av företagets samtliga risker” konstaterar domstolen att bolaget i förvaltningsrätten beskrivit det alternativa system för rapportering av risk.
”Finansinspektionen har inte bemött detta och närmare redogjort för på vilket sätt det alternativa systemet för riskrapportering inte skulle vara tillräckligt för att ge en samlad bild av riskerna organisationen. Finansinspektionen har vidare inte heller närmare specificerat på vilket sätt avsaknaden av ett verktyg som ger en samlad bild av riskerna i organisationen utgör en överträdelse av LV”, skriver förvaltningsrätten.
