Finanstilsynet har fundet væsentlige mangler i Nets’ styring af IT-risici, beredskab og eksterne leverandører.
Ifølge tilsynet var manglerne med til at gøre to omfattende nedbrud mere alvorlige.
Nets har nu fået flere påbud om at forbedre styringen af de kritiske områder.
Finanstilsynet har givet Nets en række påbud efter en undersøgelse af selskabets håndtering af IT-risici og alvorlige driftsforstyrrelser.
Inspektionen blev gennemført fra december 2025 til juni 2026 og omfattede blandt andet Nets’ IT-beredskab, organisering og styring af eksterne leverandører. Finanstilsynet vurderer, at der er væsentlige mangler på alle tre områder. Det medfører ifølge tilsynet en forhøjet IT-risiko.
Planer er ikke testet godt nok
Et af kritikpunkterne handler om Nets’ beredskab, når kritiske systemer bliver ramt af driftsforstyrrelser.
Ifølge Finanstilsynet er Nets’ planer for at holde vigtige forretningsprocesser i gang ikke tilstrækkeligt gennemarbejdede. Selskabet har heller ikke testet beredskabsplanerne godt nok.
Det kan betyde, at Nets under et større nedbrud ikke er i stand til at opretholde kritiske funktioner, mens systemerne bliver genoprettet.
Finanstilsynet kritiserer også organiseringen af arbejdet med IT-risici. Ansvarsfordelingen er på flere områder uklar, og der mangler tilstrækkelige kontroller.
Det kan øge risikoen for, at væsentlige problemer ikke bliver opdaget eller håndteret i tide.
Forværrede konsekvenserne
Finanstilsynet har samtidig undersøgt to større hændelser hos Nets den 19. juli 2025 og den 21. maj 2026.
Tilsynets konklusion er markant: De identificerede mangler var til stede under begge hændelser og bidrog ifølge Finanstilsynet til, at nedbruddene fik mere alvorlige konsekvenser, end de ellers ville have haft.
Manglerne var dermed med til at forværre de samfundsmæssige konsekvenser af driftsproblemerne.
Under nedbruddet i juli 2025 kunne en del betalinger ikke gennemføres i omkring tre timer. Nets oplyste efterfølgende, at hændelsen var blevet udløst af en sjælden komponentfejl i selskabets bagvedliggende infrastruktur.
Ved nedbruddet den 21. maj 2026 vurderede Nets under hændelsen, at størstedelen af kortbetalingerne blev afvist. Forretninger blev opfordret til at tage deres offline-procedurer i brug.
Nets oplyste senere, at hændelsen efter selskabets foreløbige analyse begyndte med en netværksfejl. Da forbindelsen blev genetableret, opstod der overbelastning, og betalingssystemet måtte genstartes. Driften blev gradvist normaliseret omkring klokken 14.
Kritik af leverandørstyring
Finanstilsynet har også fundet mangler i Nets’ kontrol med eksterne leverandører, der understøtter kritiske eller vigtige funktioner.
Nets mangler blandt andet en ensartet metode til at vurdere og overvåge risici ved leverandørerne. Planer for at afslutte samarbejdet med kritiske leverandører er heller ikke blevet testet.
Nets har derfor fået påbud om at forbedre styringen af IT-risici, beredskabet og kontrollen med eksterne leverandører.
Nets oplyser i en skriftlig kommentar til TV 2, at selskabet tager kritikken til efterretning og har arbejdet med en række forbedringer efter hændelserne i juli 2025 og maj 2026.
IT-risici: Styring, ansvar og kontrol er ikke tilstrækkeligt på plads.
Beredskab: Planer for større nedbrud er ikke gennemarbejdet og testet godt nok.
Leverandører: Kontrollen med leverandører til kritiske funktioner er utilstrækkelig.
Konsekvenser: Manglerne var ifølge Finanstilsynet med til at forværre følgerne af to nedbrud.