Bolagsstyrning.
Översikt
Styrning, ledning och kontroll av verksamhetsdrivande bolag i Nordnetkoncernen fördelas mellan aktieägarna på bolagsstämman, styrelsen och VD, enligt svensk aktiebolagslag och bolagsordningen. Från och med 1 juli 2007 omfattas Nordnet AB (publ) av Svensk Kod för Bolagsstyrning, tillgänglig på www.bolagsstyrning.se.
Bolagsstyrningsrapport
Ladda ned Nordnets senaste bolagsstyrningsrapport här.
Revisorer
I samband med årsstämman 2025 omvaldes revisionsfirman Deloitte AB till revisorer i Nordnet AB (publ) och samtliga dotterbolag fram till årsstämman 2026. Revisorerna har i uppgift att granska årsredovisning, koncernredovisning och bokföring, samt styrelsens och vd:s förvaltning. Revisorerna avrapporterar sina iakttagelser vid ett flertal tillfällen under året och är närvarande i samband med det styrelsemöte som behandlar bokslutet. Revisorerna håller även fortlöpande kontakt med revisionsutskottet.
Huvudansvarig revisor är sedan årsstämman 2019 auktoriserade revisorn Patrick Honeth.
Valberedning
Valberedningen ska bestå av styrelsens ordförande samt tre ledamöter utsedda av de tre röstmässigt största aktieägarna i Nordnet per den 31 juli. Till ordförande i valberedningen utses den person som representerar den röstmässigt största aktieägaren, såvida inte annat bestäms av valberedningen.
Inför årsstämman 2026 består Nordnet AB (publ):s valberedning av följande representanter jämte styrelseordföranden Tom Dinkelspiel:
- Johan Malm, utsedd av E. Öhman J:or Intressenter Aktiebolag, ordförande
- Catharina Versteegh, utsedd av Premiefinans K. Bolin Aktiebolag
- Anna Magnusson, utsedd av Första AP-Fonden
För att lämna förslag till valberedningen inför kommande årsstämma mejla till bolagsstamma@nordnet.se.
Följande principer för valberedningens sammansättning och arbete i Nordnet AB (publ), org.nr 559073-6681, (”Bolaget”) ska gälla fram till dess att bolagsstämman beslutar annat.
1. VALBEREDNINGENS SAMMANSÄTTNING
Inför årsstämma ska styrelsens ordförande ta kontakt med de tre röstmässigt största aktieägarna i Bolaget per den 31 juli som vardera ska ges möjlighet att utse en representant att jämte styrelseordföranden utgöra valberedningen.
Om någon av de tre röstmässigt största aktieägarna inte utövar rätten att utse en ledamot övergår rätten att utse sådan ledamot till den till röstetalet närmast följande största aktieägare som inte redan har rätt att utse en ledamot av valberedningen. Rätt att i sådan ordning utse ledamot förutsätts utövas av de till röstetalet tio största aktieägarna.
Styrelsens ordförande ska sammankalla valberedningen till dess första sammanträde. Valberedningens ordförande ska vara den ledamot som representerar den till röstetalet största aktieägaren, om inte valberedningen beslutar om annat. Valberedningen får om valberedningen så finner lämpligt, inom sig utse vice ordförande.
Namnen på valberedningens ledamöter ska offentliggöras så snart valberedningen utsetts dock senast sex månader före kommande årsstämma. Valberedningen utses för en mandattid från den tidpunkt då dess sammansättning offentliggörs fram till dess att en ny valberedning utsetts.
Om förändring sker i Bolagets ägarstruktur efter den 31 juli men före det att valberedningens fullständiga beslutsförslag offentliggjorts, och om aktieägare som efter denna förändring kommit att utgöra en av de tre till röstetalet största aktieägarna i Bolaget framställer önskemål till valberedningens ordförande om att ingå i valberedningen, ska denna aktieägare ha rätt att efter valberedningens godkännande utse en ytterligare ledamot av valberedningen.
Avgår ledamot som utsetts av aktieägare från valberedningen under mandatperioden eller blir sådan ledamot förhindrad att fullfölja sitt uppdrag ska valberedningen uppmana den aktieägare som utsett ledamoten att inom skälig tid utse ny ledamot. Om aktieägaren inte utövar rätten att utse ny ledamot övergår rätten att utse sådan ledamot till den till röstetalet närmast följande största aktieägare, som inte redan utsett eller avstått från att utse ledamot av valberedningen. Förändringar i valberedningens sammansättning ska offentliggöras så snart sådana skett.
2. VALBEREDNINGENS ARBETSUPPGIFTER
Valberedningen ska utföra sitt uppdrag i enlighet med denna instruktion och tillämpliga regler. I uppdraget ingår att valberedningen ska arbeta fram förslag i nedanstående frågor att föreläggas årsstämman för beslut:
- förslag till antal styrelseledamöter och revisorer samt, i förekommande fall, revisorssuppleanter,
- förslag till stämmoordförande,
- förslag till styrelse,
- förslag till styrelseordförande,
- förslag till styrelsearvoden med uppdelningen mellan ordförande och övriga ledamöter i styrelsen samt ersättning för utskottsarbete,
förslag till revisorer och, i förekommande fall, revisorssuppleanter, - förslag till arvodering av revisor och
- i den mån så anses erforderligt, förslag till ändringar i gällande instruktion för valberedningen.
Vid annan bolagsstämma än årsstämma ska valberedningens förslag omfatta det eller de val som ska förekomma vid stämman.
Valberedningens förslag ska tillställas Bolaget genom dess styrelseordförande i god tid inför Bolagets utfärdande av kallelse till årsstämma och på så sätt att Bolaget kan uppfylla punkt 4.1 i Svensk kod för bolagsstyrning avseende val av styrelse.
3. SAMMANTRÄDEN
Valberedningen ska sammanträda så ofta som erfordras för att valberedningen ska kunna fullgöra sina uppgifter, dock minst en gång årligen. Kallelse till sammanträde utfärdas av valberedningens ordförande. Om ledamot begär att valberedningen ska sammankallas till möte, ska begäran efterkommas.
Valberedningen är beslutsför om minst två ledamöter är närvarande. Som valberedningens beslut gäller den mening för vilken mer än häften av de närvarande ledamöterna röstar, vid lika röstetal, den mening som biträdes av ordföranden.
4. ARVODE
Inget arvode ska utgå till valberedningens ledamöter. Bolaget ska dock svara för skäliga kostnader rimligen förenade med valberedningens uppdrag.
5. VALBEREDNINGENS NÄRVARO VID BOLAGSSTÄMMA
Företrädare för valberedningen bör alltid närvara vid årsstämman.
6. ÄNDRINGAR AV DENNA INSTRUKTION
Valberedningen ska löpande utvärdera dessa instruktioner och sitt arbete och till årsstämman lämna förslag på sådana ändringar av denna instruktion som valberedningen bedömt vara lämpliga.
_______________
Antagen vid bolagsstämma den 28 april 2022
GDPR
Personuppgifter
Personuppgifter är all information som direkt eller indirekt kan knytas till en levande, fysisk person. En identifierbar person är någon som kan identifieras, antingen direkt eller indirekt, genom olika identifierare.Information som i sig inte identifierar en person kan ändå vara personuppgifter om informationen, i kombination med annan information, kan identifiera en person. Detta gäller oavsett om informationen är sammanställd eller inte.
Behandling
Behandling av personuppgifter avser varje åtgärd eller kombination av åtgärder beträffande personuppgifter, oavsett om det sker automatiskt eller inte. Detta inkluderar, men är inte begränsat till, insamling, registrering, organisering, strukturering, lagring, användning, utlämnande, analys, sammanställning eller radering.
Känsliga personuppgifter
Känsliga personuppgifter regleras uttryckligen i artikel 9 i GDPR och kallas formellt för ”särskilda kategorier av personuppgifter”. Dessa kategorier är: ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning. Som huvudregel får känsliga uppgifter inte behandlas om det inte är absolut nödvändigt och endast under förutsättning att ett lagligt undantag från förbudet gäller samt att strikta skyddsåtgärder har vidtagits.
Integritetskänsliga personuppgifter
Vissa kategorier av personuppgifter är mer känsliga än andra, även om de inte klassificeras som ”särskilda kategorier” i GDPR. Dessa kategorier kallas vanligen för integritetskänsliga uppgifter och avser uppgifter som, på grund av sin känslighet, bör omfattas av extra säkerhetsåtgärder. Exempel på sådana kategorier är personnummer, uppgifter om brottslighet, finansiell information, information om en persons privatliv eller sociala relationer, information om minderåriga samt beskrivningar/utvärderingar av personliga egenskaper.
Profilering och automatiserat beslutsfattande
Profilering innebär all form av automatisk behandling av personuppgifter som görs för att utvärdera personliga aspekter hos en person. Profilering involverar en rad statistiska slutsatser som antingen skapar förutsägelser om en persons beteende eller en analys av personliga aspekter.Automatiserat beslutsfattande innebär möjligheten att fatta beslut med tekniska medel utan mänsklig inblandning. GDPR har ett generellt förbud mot automatiserat beslutsfattande, inklusive profilering, som har rättsliga eller liknande betydande effekter. Nordnet får endast utföra automatiserat beslutsfattande om ett lagligt undantag gäller och om kraven på transparens är uppfyllda.
Introduktion
Nordnet åtar sig att säkerställa att följande principer följs i varje process som Nordnet ansvarar för. Ingen behandling av personuppgifter får ske om inte dessa grundläggande principer är uppfyllda.
Laglighet och korrekthet
Behandling av personuppgifter är endast laglig och korrekt när den baseras på en giltig och godkänd rättslig grund. Lämpligheten hos varje rättslig grund beror på det syfte för vilket Nordnet behöver behandla personuppgifter. Nordnet har etablerat processer för att säkerställa att inga personuppgifter får behandlas innan syftet och dess rättsliga grund har fastställts och genomgått en juridisk bedömning. Nordnet har även en separat process för att bedöma intresseavvägning som rättslig grund, där intresseavvägningen dokumenteras för att säkerställa korrekthet och proportionalitet. Nordnets behandlingar som baseras på samtycke som rättslig grund, är villkorade av ett aktivt och uttryckligt samtycke från varje registrerad efter att relevant information om behandlingen och deras rättigheter har tillhandahållits.
Öppenhet
Nordnets dataflöden är utformade för att säkerställa att de registrerade har informerats om databehandlingen på ett koncist, transparent, begripligt och lättillgängligt sätt. Nordnet tillhandahåller integritetspolicyer på sina externa webbplatser, som alltid är tillgängliga för de registrerade, och eventuella uppdateringar kommuniceras via etablerade kommunikationskanaler med de registrerade.
I händelse av en personuppgiftsincident som sannolikt kommer att leda till en hög risk för de registrerade, kommer Nordnet att säkerställa att de berörda registrerade underrättas om incidenten för att möjliggöra nödvändiga försiktighetsåtgärder. En sådan kommunikation ska ske utan onödigt dröjsmål.
Ändamålsbegränsning
Behandling av personuppgifter är endast tillåten om den sker på ett sätt som är förenligt med de ändamål för vilka uppgifterna samlades in. Ändamålet måste vara specificerat och uttryckligt. Nordnet upprätthåller register över personuppgiftsbehandlingen som strikt fastställer varje affärsfunktions behandlingsaktiviteter – varje planerad avvikelse måste genomgå nya bedömningar och förfaranden.
Uppgiftsminimering
Nordnet ska säkerställa att behandlingen endast använder de personuppgifter som är nödvändiga i förhållande till de ändamål för vilka uppgifterna behandlas. Detta innebär att Nordnet i varje behandling ska se till att inte fler personuppgifter än vad som är absolut nödvändigt för att uppfylla ändamålet med den specifika behandlingen används. Denna skyldighet gäller mängden insamlade personuppgifter, omfattningen av deras behandling, perioden för deras lagring och deras tillgänglighet.
Korrekthet
Nordnet ska vidta alla rimliga åtgärder för att säkerställa att behandlingsaktiviteter utförs på korrekta och relevanta uppgifter. Detta innebär att Nordnet har infört mekanismer för säker autentisering och verifiering av den information vi samlar in. Nordnet åtar sig också att, när det är möjligt och så ofta som anses nödvändigt och adekvat, följa upp och uppdatera personuppgifter baserat på offentliga register (t.ex. SPAR, eller liknande offentliga register i respektive land). Eventuella felaktiga uppgifter ska rättas eller raderas utan onödigt dröjsmål.
Lagringsminimering
Inga personuppgifter hos Nordnet får behållas i en form som möjliggör direkt eller indirekt identifiering av en registrerad under en längre tid än vad som är absolut nödvändigt för det eller de ändamål för vilka personuppgifterna ursprungligen samlades in och behandlades. Detta innebär att Nordnet måste ta bort personuppgifter, antingen genom att radera/förstöra dem eller genom att anonymisera dem, så snart syftet inte längre existerar. För att säkerställa att personuppgifter inte lagras längre än nödvändigt har Nordnet infört specifika tidsfrister och rutiner för radering och anonymisering.
Säkerhet och konfidentialitet
Som personuppgiftsansvarig arbetar Nordnet kontinuerligt med att säkerställa att våra produkter och tjänster samt våra interna processer uppfyller de krav som ställs i integritetsförordningar. Nordnet åtar sig att alltid implementera ledande dataskyddsstandarder och kontinuerligt utbilda våra anställda i hantering av dataskydd. Vår säkerhet baseras på väletablerade standarder för arkitektur och säkerhet som säkerställer kontinuerligt underhåll och förbättringar i enlighet med de pågående förändringarna i hotbilden. Revisioner, sårbarhetsskanningar och säkerhetstester är en integrerad del av Nordnets pågående risk- och säkerhetshantering.
Nordnet ska vidta alla rimliga åtgärder för att säkerställa att all behandling sker på ett sätt som garanterar lämplig säkerhet för personuppgifterna. Sådana överväganden inkluderar, men är inte begränsade till, behandlingens art, omfattning, sammanhang och ändamål, sannolikheten och svårighetsgraden av de risker som behandlingen medför, kostnaden för implementering och den aktuella tekniska utvecklingen. Exempel på säkerhetsåtgärder är pseudonymisering, kryptering av personuppgifter och effektiva åtkomstkontroller. Intern konfidentialitet, som mellan avdelningar och personalgrupper, regleras av interna policyer och åtkomstkontroller.
Nordnet har antagit rigorösa processer för varje planerad personuppgiftsbehandling, vilket inkluderar konsekvens- och riskbedömningar för att säkerställa att alla risker för säkerhets- och konfidentialitetsöverträdelser hanteras på rätt sätt. I händelse av en inträffad personuppgiftsincident, t.ex. olagligt utlämnande eller en oavsiktlig förlust av personuppgifter, har Nordnet ett etablerat förfarande för upptäckt, utredning, bedömning, åtgärder och rapportering.
Personuppgifter kan i sällsynta fall överföras till och behandlas i länder utanför EU/EES-området (så kallade tredjeländer). Dessa överföringar sker endast under förutsättning att det finns en adekvat skyddsnivå eller att lämpliga åtgärder har vidtagits, t.ex. standardavtalsklausuler godkända av EU-kommissionen med kompletterande skyddsåtgärder när det krävs för att säkerställa en i huvudsak likvärdig skyddsnivå som garanteras av GDPR. Nordnet genomför konsekvensbedömningar av dataöverföringar till tredjeländer som inte omfattas av EU-kommissionens beslut om adekvat skyddsnivå, för att utvärdera om sådan nivå kommer att uppnås.
Ansvarsskyldighet
I enlighet med artikel 5.2 i GDPR är Nordnet ansvarig för och ska kunna visa att de efterlever det som har angetts under detta avsnitt.
Allmänt
VD har det yttersta ansvaret för Nordnets efterlevnad och för att säkerställa att Nordnet har den expertis och de resurser som krävs för att uppfylla de mål och processer som anges i denna översikt. För att säkerställa detta finns interna regler som ger mer detaljerad vägledning om professionellt uppförande som regelbundet ses över.
För att säkerställa att Nordnet hanterar personuppgifter på ett lagligt sätt måste alla anställda följa alla tillämpliga lagar och förordningar samt Nordnets interna standarder och rutiner. Varje enskild anställd inom Nordnet bidrar därför till arbetet med att säkerställa att Nordnets behandling av personuppgifter är lämplig och laglig, givetvis med tillgång till lämpliga utbildningar, verktyg och resurser för detta mål. Juridik-, säkerhets- och riskavdelningarna är, var för sig eller gemensamt, involverade i integritetsrelaterade processer och ger stöd och vägledning till alla avdelningar.
Nordnet är ansvarig för att hantera varje personuppgiftsincident som inträffar i Nordnets egen verksamhet och genom hela kedjan av personuppgiftsbiträden. Om incidenten bedöms sannolikt leda till en risk för de registrerade, ska en rapport lämnas till tillsynsmyndigheten utan onödigt dröjsmål och inom 72 timmar efter att ha blivit medveten om incidenten.
Dataskyddsombud (DPO)
Nordnet har utsett ett dataskyddsombud (DPO) med stor kunskap inom dataskyddsförordningar. DPO:n ska utföra kontroller och verifieringar av Nordnets efterlevnad av tillämpliga regler inom integritetsområdet. DPO:n ska lämna rekommendationer, t.ex. gällande konsekvensbedömningar avseende dataskydd. DPO:n fungerar också som en kontaktpunkt, inte bara för de registrerade, utan även gentemot tillsynsmyndigheten, t.ex. i händelse av en personuppgiftsincident eller ett förhandssamråd om en planerad behandlingsaktivitet.
DPO:n rapporterar till den högsta ledningen och Nordnet har organiserat verksamheten på ett sätt som möjliggör och säkerställer DPO:ns oberoende i förhållande till ledningen så att dataskydd kan förbli DPO:ns enda och huvudsakliga mål.
Tredje parter
Som en del av Nordnets verksamhet kan information delas med tredje parter (inklusive användning av verktyg och tjänster från tredje part), t.ex. enheter inom Nordnet-koncernen, externa leverantörer, underleverantörer, betrodda partners och även administrativa myndigheter. I detta avseende delar Nordnet aldrig mer information än vad som är strikt nödvändigt för det relevanta behandlingsändamålet som den registrerade har informerats om. Nordnet vidtar lämpliga och relevanta avtalsmässiga, tekniska och organisatoriska åtgärder för att säkerställa att leverantörer, både inom och utanför EU/EES, hanterar personuppgifter på ett säkert och korrekt sätt i enlighet med tillämpliga integritetsförordningar samt Nordnets integritets- och säkerhetspolicyer.
Underlättande av den registrerades rättigheter
Nordnets integritetspolicyer ger de registrerade information om deras rättigheter enligt GDPR, hur de kan utöva dem och alla relevanta kontaktuppgifter i fall de har frågor, funderingar eller klagomål gällande Nordnets databehandling. De tillgängliga åtgärderna för de registrerade inkluderar både digitala (t.ex. funktioner som är tillgängliga i inloggat läge) och offline-alternativ (pappersformulär tillgängliga på webbplatser), där noggrann identifiering och säkerhetsstandarder inte äventyras.
Nordnet har etablerat riktlinjer och rutiner för hantering av de registrerades rättigheter, med utsedda avdelningar för varje steg, för att säkerställa att dessa förfrågningar hanteras korrekt. Den registrerades rättigheter existerar inte utan villkor och undantag enligt GDPR, så i en situation där en registrerads begäran helt eller delvis nekas, måste en korrekt förklaring med relevanta referenser ges av Nordnet till den registrerade.
Nordnet har ett omfattande fokus på att säkerställa vår databehandling. Baserat på dataskyddsförordningen (”GDPR”) granskar vi kontinuerligt hur vi hanterar personuppgifter både i drift- och stödfunktioner, vilket bland annat innebär att när vi utvecklar nya produkter eller tjänster genomför vi en konsekvensbedömning avseende hanteringen av personuppgifter och har även processer för att bygga in dataskydd i utvecklingen av nya system. Våra processer inkluderar också granskningar av leverantörer ur ett säkerhets- och dataskyddsperspektiv, där höga krav ställs på leverantörerna när det gäller avtalsenliga skyldigheter, organisatoriska rutiner och tekniska åtgärder, följt av adekvata kontroller.
De registrerade får information om vår databehandling, inklusive information om vilka personuppgifter vi samlar in, använder och behåller, vad våra syften och rättsliga grunder är samt hur länge vår behandling kommer att pågå. Vi betonar också transparensen kring den registrerades rättigheter och hur de kan utövas. Dessutom har en fullständig uppsättning interna styrdokument upprättats inom Nordnet, vilka underhålls och uppdateras i enlighet med utvecklingen inom integritetsområdet för att säkerställa att personuppgifter hanteras korrekt. Vi har också integritetsområdet som ett viktigt introduktionssteg för all nyanställd personal, följt av regelbundna personalutbildningar.
Nedan följer en sammanfattning av Nordnets interna styrdokument och styrning gällande dataskydd. Mer information om hur vi hanterar personuppgifter finns på www.nordnet.se, www.nordnet.dk, www.nordnet.no och www.nordnet.fi.
Uppförandekod för leverantörer
Samtliga Nordnets upphandlingsaktiviteter ska utföras professionellt och i enlighet med tillämpliga lagar och interna regler. Nordnet strävar efter att upprätthålla höga etiska standarder och hållbara affärsmetoder samt respekt för miljön, antikorruption, mänskliga rättigheter, rättvisa och säkra arbetsförhållanden och förväntar sig samma sak från leverantörer. Vi uppmanar alla leverantörer att främja dessa standarder i hela sin leveranskedja.
Nordnet ska ha en uppförandekod som bygger på FNs Global Compact, Nordnets kärnvärden och god affärsetik.
Baserat på Nordnets riskklassificeringsmodell för leveranskedjan är ambitionen att 100 procent av alla Nordnets Kritiska- och Outsourcing-leverantörer, ska ha accepterat Nordnets leverantörs uppförandekod eller ha en motsvarande kod.
Nordnet-Supplier-Code-of-Conduct-231206.pdf
Omställningsplan
Nordnet står bakom Parisavtalet och dess mål att hålla den globala uppvärmningen under 2 °C samt sträva efter att begränsa den till 1,5 °C. Detta avspeglas i vårt klimatarbete inom ramen för Nordnets egna verksamhet, samt den indirekta påverkan till följd av den verksamhet vi bedriver. Som digital sparplattform har vi möjlighet att bidra till en sund samhällsutveckling genom att underlätta kapitalskiftet mot hållbara investeringar. Nordnets strategi för att agera i linje med Parisavtalet utgår från att identifiera hur vi kan göra skillnad och var vi har störst möjlighet att påverka. Som ett led i det arbetet har vi tagit fram en omställningsplan.
Klimatförändringarna är en av vår tids stora utmaningar. Samtidigt innebär det även möjligheter för oss om vi kan hjälpa våra kunder att allokera kapital till mer hållbara investeringar. Med vårt resurseffektiva och digitala arbetssätt kan vi vara med och driva en positiv förändring. Vårt arbete ska utgå från våra värderingar passion, transparens och enkelhet, och vår ambition att göra det enkelt att spara hållbart.
Vårt hållbarhetsarbete ska präglas av långsiktighet och stegvis förbättring. Omställningsplanen kommer att revideras över tid när metoder och data förfinas och blir mer specifika, och Nordnets klimatarbete utvecklas.
Nordnets omställningsplan (ENG)
Intern kontroll
Risktagande är en grundläggande del av Nordnets verksamhet och det är av stor betydelse att risktagandet sker under kontrollerade former. Nordnets ambition är att kontrollmiljön ska genomsyras av företagets etiska värderingar och riskkultur. De etiska riktlinjerna fastställs av styrelsen och kommuniceras till alla medarbetare liksom andra styrande dokument i form av policys, riktlinjer och instruktioner syftande till att begränsa och kontrollera risker och risktagandet i verksamheten.
Riskhanteringen sker i enlighet med ramverket för riskhantering. Ramverket utgörs av ett antal styrdokument som beskriver strategier, processer, rutiner, interna regler, limiter, kontroller och rapporteringsrutiner. Riskramverket är integrerat i organisationen och täcker samtliga relevanta risker.
Nordnets styrelse är ytterst ansvarig för att tillse att det finns en god internkontroll i Nordnets verksamhet i enlighet med de direktiv, lagar och föreskrifter som finns för verksamheten. Detta ansvar innebär att säkerställa att det finns oberoende funktioner som kontrollerar och hanterar risker och regelefterlevnad, samt rapporterar hur verksamheten bedrivs avseende detta till styrelse och ledning. Nordnets kontrollfunktioner utgörs av Risk Control, Compliance samt Internrevision. Vid bedömningen av effektiviteten i internkontrollen inom Nordnet så förlitar sig styrelsen huvudsakligen på arbetet i kontrollfunktionerna.
Nordnet ska arbeta med risker i enlighet med principerna om de tre försvarslinjerna. Den första linjen i försvaret utgörs av verksamheten i linjeorganisationen och avser alla riskhanteringsaktiviteter som utförs av linjeledning och personal.
Den andra försvarslinjen utgörs av riskkontroll- och compliancefunktionerna. De är oberoende från linjeverksamheten och övervakar, kontrollerar och rapporterar Nordnets risker och regelefterlevnad samt ska även stödja och ge råd till första försvarslinjen.
Den tredje försvarslinjen utgörs av internrevisionfunktionen som utför oberoende periodiska granskningar av styrningsstrukturen och systemet för intern kontroll. Internrevisionen inom Nordnet utförs på styrelsens direkta uppdrag av externa konsulter. Läs mer om de tre försvarslinjerna i årsredovisningen 2024, not 7.
Den interna kapital- och likviditetsutvärderingen (IKLU) är en framåtblickande kontinuerlig process som utvärderar nuvarande och kommande kapital- och likviditetsbehovet i relation till Nordnets riskprofil, planer och omvärldsförändringar. Som ett led i IKLU genomförs en omfattande genomlysning och analys av riskerna i verksamheten. Nordnet arbetar för att hela organisationen ska vara en del av riskanalysen. Samtliga medarbetare har ett ansvar att identifiera risker och öka sin kunskap om dessa. IKLU-processen utgör en del av organisationens riskarbete och kräver ett aktivt deltagande från riskägare och berörda medarbetare.
De risker som Nordnet är exponerat mot delas in enligt nedan:
- Kreditrisk inklusive koncentrationsrisk
- Marknadsrisk
- Finansieringsrisk/Likviditetsrisk
- Operativ risk
- Risker i försäkringsverksamheten
- Hållbarhetsrisk
För en beskrivning av varje ovan nämnd risk, se not 7 årsredovisningen 2024.
För Nordnet är korrekt och säker hantering av information en grundpelare för att bibehålla förtroendet från kunder, myndigheter, ägare och samarbetspartners. För att kunna upprätthålla förtroendet och tillvarata digitaliseringens möjligheter krävs ett strukturerat informations- och IT-säkerhetsarbete, som är integrerat i hela vår verksamhet. Det säkerställer vi genom att:
- Ledningen och styrelsen är engagerade i utformningen av bolagets säkerhetsstrategi.
- Säkerhetsstrategin har som övergripande mål att stötta Nordnets affärsstrategi och är baserad på analys av befintliga förmågor, aktuell hotbild, identifierade risker samt gällande regulatoriska krav.
- Ett ledningssystem finns etablerat där roller och ansvar för säkerhet tydligt framgår.
- Organisation, processer och tekniska lösningar för ett proaktivt säkerhetsarbete finns etablerade och vidareutvecklas i enlighet med säkerhetsstrategin med särskilt fokus på cybersäkerhet.
- Vi samverkar via olika säkerhetsforum med övriga aktörer på finansmarknaden, och på så sätt bidrar vi till att skydda det finansiella systemet.
- Våra IT-system övervakas dygnet runt, årets alla dagar.
- Vår personal genomgår löpande General Security Awareness Training.
Ett stort antal säkerhetshöjande aktiviteter har genomförts inom ramarna för Nordnets säkerhetsstrategi. Dessa bidrar nu till att bland annat följande punkter förbättrats:
- Identifiera och åtgärda säkerhetsrisker.
- Skydda information och IT-system från obehörig åtkomst och hantering.
- Upptäcka händelser i IT-miljön som kan vara tidiga indikationer på en cyberattack eller annan form av säkerhetsincident.
- Effektivt hantera säkerhetincidenter, inklusive större cyberattacker.
I enlighet med styrelsens arbetsordning och arbetsordningen för dotterbolagen Nordnet Bank AB och Nordnet Pensionsförsäkring AB, samt Finansinspektionens föreskrifter, har styrelsen utsett en oberoende granskningsfunktion/internrevision som är direkt underställd styrelsen. Internrevisorns arbete baseras på en av styrelsen beslutad instruktion. Internrevision ska granska och regelbundet utvärdera om bolagets interna kontroll är ändamålsenlig och effektiv. Från och med 2018 innehas funktionen av EY.
Nordnets policyer
Här finner du ett urval av Nordnets policyer.
Myndighetsrapporter
Redegørelse om inspektion i Nordnet Bank, filial af Nordnet Bank AB, Sverige, 2023. Sammanfattning från granskning av Nordnet Bank, filial av Nordnet Bank AB, Sverige.