Starfsreglur stjórnar eru að jafnaði endurskoðaðar árlega og voru þær síðast staðfestar í nóvember 2023. Reglurnar kveða meðal annars á um hæfi stjórnarmanna, verkaskiptingu og skyldur þeirra. Reglurnar ná einnig yfir hlutverk og verksvið stjórnar og forstjóra, fyrirsvar stjórnar stofnunarinnar, upplýsingagjöf til stjórnar, fundarsköp, fundargerðir og ákvörðunarvald stjórnar. Auk stefnumótunarhlutverksins hefur stjórn eftirlit með því að starfsemi NTÍ sé í samræmi við lög og reglur og hefur eftirlit með bókhaldi og ráðstöfun fjármuna stofnunarinnar. Stjórnin hefur eftirlit með virkni áhættustýringar, árangri og skilvirkni innra starfs og stuðlar að því að markmið NTÍ náist.

Áhættustýringarstefna er í stöðugri endurskoðun og eru þrír stærstu áhættuþættir í starfseminni skilgreindir sem; meðferð tjónamála, stýring eignasafns og tryggingafræðileg áhætta. Áhættustýringarstefnan er í anda samhæfðrar áhættustýringar COSO 2017, þar sem m.a. er fjallað um áhættumenningu, stefnumótun, áhættu við framkvæmd verkefna, upplýsingar um áhættu og skýrslugerð ásamt kröfum um innra eftirlit og áhættumælingar.

Upplýsingaöryggisstefna var síðast endurskoðuð í febrúar 2022 og byggir hún á leiðbeinandi tilmælum FME nr. 1/2019 vegna áhættu við rekstur upplýsingakerfa eftirlitsskyldra aðila.

Stjórn staðfesti endurskoðaða umhverfis- og loftslagsstefnu NTÍ í október 2022, en henni er m.a. ætlað að tryggja fylgni við „Græn skref í ríkisrekstri“ og styðja við áherslur ríkisins um samdrátt í losun gróðurhúsalofttegunda. Ekki er í gildi sérstök stefna NTÍ um samfélagslega ábyrgð en í skipulagi og umgjörð starfseminnar eru í gildi reglur sem ætlað er að tryggja rekstrarsamfellu og samfélagslegt öryggi þegar til náttúruhamfara kemur. Birtist þetta m.a. í reglum um fjárfestingarstarfsemi, fjárfestingarstefnu og viðbragðsáætlun.

Stjórn hefur ekki sett sér stefnu um fjölbreytileika í tengslum við stjórn. Stjórn gengur út frá því að þeir sem skipa í stjórnina fari eftir gildandi lögum á hverjum tíma.

Stjórn heldur sameiginlega fundi með innri og ytri endurskoðendum og endurskoðunarnefnd um innra eftirlit og áhættustýringu. Bæði stjórn og endurskoðunarnefnd funda a.m.k. einu sinni á ári án viðveru forstjóra NTÍ. Mat stjórnar á eigin störfum fór síðast fram í október 2023 og taldi stjórn sig hafa uppfyllt skyldur sínar samkvæmt lögum og starfsreglum og að starf hennar hefði skilað tilætluðum árangri. Í árangursmati stjórnar var áhersla lögð á mat á skipulagi og framkvæmd stjórnarfunda, upplýsingagjöf til stjórnar, hlutverk, ábyrgð og valdmörk stjórnar og forstjóra, virkni stjórnarmanna og mat á störfum stjórnarformanns og forstjóra. EY aðstoðaði stjórn við framkvæmd árangursmatsins.

Árlega skilar endurskoðunarnefnd skýrslu til stjórnar um störf sín og leggur mat á eigin störf skv. góðum starfsháttum endurskoðunarnefnda.

Skipulag á starfsemi NTÍ byggir á sveigjanleika. Umfang starfseminnar er mjög mismunandi frá ári til árs þar sem tjónsatburðir ráða miklu um það hversu mikinn mannafla þarf hverju sinni. Að jafnaði starfa 4-5 starfsmenn í fullu starfi hjá stofnuninni, en þegar atburðir eiga sér stað er verkefnum ýmist úthýst eða fólk ráðið til tímabundinna starfa.

Stjórn hefur sett sér persónuverndarstefnu sem birt er á heimasíðu NTÍ. Persónuvernd er hluti af áhættumati við alla samningagerð á vegum NTÍ og eru vinnslusamningar gerðir alls staðar þar sem unnið er með persónuupplýsingar. Mikil áhersla er lögð á öryggi persónuupplýsinga í upplýsingakerfum. PwC sinnir hlutverki persónuverndarfulltrúa fyrir hönd NTÍ.

NTÍ lýtur eftirliti Seðlabanka Íslands og hefur komið á samhæfðri áhættustýringu sem nær til allra rekstrarþátta NTÍ. Fram til ársins 2017 voru í gildi leiðbeinandi tilmæli FME nr. 3/2014 um áhættustýringu og starfssvið tryggingastærðfræðings hjá vátryggingafélögum sem áhættustýring NTÍ byggði á, en þau hafa nú verið felld úr gildi. Þar sem FME mun ekki viðhalda tilmælunum var ákveðið að líta til COSO ERM 2017 við endurskoðun samhæfðrar áhættustýringar frá árinu 2017. Núverandi áhættustefna byggir því á nýjustu leiðbeiningum COSO sem stendur fyrir Commitee of Sponsoring Organizations of the Treadway Commission.

Stjórnkerfi og skipulag NTÍ er skráð í gæðakerfi hennar. Leiðbeiningar fyrir starfsmenn stofnunarinnar miða að því að hver og einn beri ábyrgð á gæðum vinnu sinnar, þjónustu NTÍ og upplýsingaöryggi. Innra eftirlit er innbyggt í verklagsreglur NTÍ og eru innri úttektir og áhættugreiningar framkvæmdar reglulega. Starfsmaður þjónustusviðs kynnir niðurstöðu gæða- og öryggismála, innri úttekta og stöðu úrbótaverkefna árlega í kjölfar innri endurskoðunar og annarra úttekta fyrir stjórn og endurskoðunarnefnd.

NTÍ leggur áherslu á skýra verkaskiptingu og ábyrgð. Mánaðarleg skýrslugjöf um eignastýringarsafn er mikilvægur þáttur í upplýsingagjöf til stjórnar NTÍ. Að auki er ítarleg skýrslugjöf um safnið ársþriðjungslega og árlega er eigið áhættu- og gjaldþolsmat framkvæmt samhliða ársskýrslu um árangur eignasafnsins. Forstjóri fundar að jafnaði nokkrum sinnum á ári með fjárstýringaraðilum, um hvernig stýringu og eftirliti með fjárfestingum er háttað og til þess að leggja mat á hvort það sé fullnægjandi.

Árleg skýrsla um áhættustýringu og aðrar reglulegar úttektir miða að því að tryggja gagnsæi í starfseminni og auðvelda NTÍ að uppgötva og leiðrétta hugsanlegar skekkjur, fylgjast með frávikum og sveiflum í starfseminni og gefa svigrúm til að bregðast við ef áhættuþættir eða breytingar í rekstrarumhverfi gefa tilefni til. Skuldbinding vegna orðinna tjóna og endurtryggingavernd NTÍ eru metnar með reglulegum hætti og þess gætt að þær séu í samræmi við þarfir stofnunarinnar og skuldbindingar hennar.

Samningur um ytri endurskoðun var gerður við Deloitte haustið 2023 til fimm ára fyrir tímabilið 2023-2027 á grundvelli útboðs með milligöngu Ríkisendurskoðunar. Samningur var í gildi um innri endurskoðun við EY (Ernst and Young) fyrir árin 2022-2024, en vegna sameiningar EY og Deloitte í lok ársins 2023, liggur fyrir að gera þarf samning við annan aðila um innri endurskoðun.

NTÍ lýtur eftirliti fjármálaeftirlits Seðlabanka Íslands og fleiri eftirlitsaðila og kappkostar að uppfylla öll lög, reglur og leiðbeinandi tilmæli sem um stofnunina gilda. Unnið er náið með eftirlitsaðilum í þeim tilgangi að tryggja öryggi gagna. Þjónustuaðili sem sér um heildarrekstur upplýsingatæknikerfa er vottaður skv. ISO27001 upplýsingaöryggisstaðlinum. Þjónustuaðilum í upplýsingatækni ber skv. lögum um persónuvernd og vinnslu persónuupplýsinga að tryggja sjálfgefna og innbyggða persónuvernd í upplýsingakerfum eftir því sem við verður komið þar sem tekið er mið af nýjustu tækni, kostnaði við innleiðingu, umfangi, samhengi og tilgangi vinnslu og áhættu.

NTÍ leggur sig fram við að vernda einstaklinga fyrir óheimilum aðgangi eða óheimilum breytingum, birtingu eða skemmdarverkum á persónuupplýsingum í vörslu NTÍ. Sérstaklega má nefna að:

• Í mörgum tilvikum eru vefsvæði NTÍ dulkóðuð með SSL (auðkennt í vafranum með „https“ forskeyti á undan vefslóðinni og mynd af hengilás).

• Þegar einstaklingar skrá sig inn á Mínar síður nýta þeir Íslykil eða rafræn skilríki til innskráningar.

• NTÍ endurskoðar reglulega verkferli við söfnun, geymslu og úrvinnslu upplýsinga, þar með taldar tæknilegar öryggisráðstafanir til að verja fyrir kerfisaðgangi án heimilda.

• NTÍ takmarkar aðgang að persónuupplýsingum við starfsfólk NTÍ og vinnsluaðila sem undirritað hafa vinnslusamning sem samræmist lögum um persónuvernd og vinnslu persónuupplýsinga ásamt samningsaðilum sem undirritað hafa trúnaðarsamning vegna vinnslunnar. Aðgangur er alltaf takmarkaður við þá sem nauðsynlega þurfa aðganginn til að geta framkvæmt verkefni sín fyrir NTÍ.

• NTÍ uppfærir öryggisráðstafanir sínar reglulega til verndar tölvuárásum, ólögmætri eyðingu eða breytingu á persónuupplýsingum.

• NTÍ hefur látið framkvæma árásarprófanir á kerfi NTÍ til að tryggja að ekki væri hægt að nota þekktar aðferðir til að brjótast inn í vefþjóna NTÍ.

• Vinnsluaðilum ber að tilkynna NTÍ án tafar um hvers kyns öryggisbrot skv. lögum um persónuvernd og vinnslu persónuupplýsinga.

• Aðgangsstýringar eru á öllum persónuupplýsingum og eru þeir aðilar sem aðgang hafa að upplýsingunum bundnir trúnaðar- og þagnarskyldu.