Zoekopties
Home Media Explainers Onderzoek & publicaties Statistieken Monetair beleid De euro Betalingsverkeer & markten Werken bij de ECB
Suggesties
Sorteren op

Veelgestelde vragen over de stresstest cyberweerbaarheid 2024

Waarom heeft de ECB een stresstest voor cyberweerbaarheid uitgevoerd?

De ECB voert jaarlijks stresstests voor toezichtdoeleinden uit, in overeenstemming met artikel 100 van de richtlijn kapitaalvereisten, en werkt om de twee jaar mee aan een EU-brede stresstest die wordt gecoördineerd door de Europese Bankautoriteit (EBA). In jaren waarin er geen EU-brede stresstest van de EBA plaatsvindt, voert de ECB een gerichte stresstest uit naar een specifiek soort risico. Voor deze tests werkt de ECB samen met de nationale toezichthoudende autoriteiten.

De afgelopen jaren is het aantal cyberaanvallen aanzienlijk toegenomen en banken zijn sterk blootgesteld aan deze steeds grotere cyberdreigingen. In het kader van de toezichtsprioriteiten voor 2024-2026 verzoekt de ECB de onder toezicht staande banken om verdere vooruitgang te boeken met de digitale transformatie en te zorgen voor robuuste operationele weerbaarheid, zodat ze bestand zijn tegen cyberaanvallen en zich snel kunnen herstellen indien zich een ernstig cyberincident voordoet.

Welk scenario is voor de stresstest gebruikt?

Bij de test werd ervan uitgegaan dat preventieve acties en beschermingsmaatregelen tekortschoten of werden omzeild en dat een cyberaanval de dagelijkse bedrijfsvoering van de bank met succes verstoorde. De banken hebben hun respons- en herstelmaatregelen getest, waaronder het activeren van noodprocedures en -plannen en het herstellen van normale bedrijfsactiviteiten. De toezichthouders hebben vervolgens beoordeeld hoe banken zich in een dergelijk scenario konden redden. De stresstest ging dus na hoe banken reageren op een cyberaanval en hoe ze van zo’n aanval herstellen. Het ging in dit geval dus niet zozeer om hoe ze een aanval konden voorkomen.

Welke informatie hebben banken aan de ECB gerapporteerd?

Er werden twee beoordelingsniveaus toegepast: een standaardbeoordeling en een aanvullende beoordeling met extra vereisten. De 81 banken die aan de standaardbeoordeling werden onderworpen, moesten een vragenlijst beantwoorden en de nodige gegevens verstrekken, zoals meldingen van cyberincidenten volgens de SSM-procedure, vooraf opgestelde documenten zoals interne beleidslijnen en procedures met betrekking tot ICT-risico’s, en de resultaten van eerdere IT-hersteltests met een soortgelijk scenario als dat van de SSM-stresstest 2024 voor cyberweerbaarheid. De 28 banken die betrokken waren bij de aanvullende beoordeling moesten bovendien een daadwerkelijke IT-hersteltest uitvoeren op basis van het scenario van de SSM-stresstest 2024 voor cyberweerbaarheid en bewijzen leveren van een succesvol herstel. Deze banken ontvingen ook bezoek ter plaatse met het oog op verdere kwaliteitsborging.

Hoe hebt u banken geselecteerd voor de aanvullende beoordeling?

De steekproef van de aanvullende beoordeling omvat verschillende bedrijfsmodellen en landen, die een betekenisvolle afspiegeling vormen van het bankenlandschap in het eurogebied. Bij de selectie is geen rekening gehouden met het cyberrisicoprofiel van de betrokken banken.

Wat gaat de ECB doen met de inzichten uit de stresstest?

De stresstest was overwegend kwalitatief. De inzichten zullen worden gebruikt bij de ruimere procedure voor prudentiële toetsing en evaluatie van 2024 (supervisory review and evaluation process – SREP). Na afloop van de test ontving elke bank een individueel rapport met aanbevelingen voor verbetering. De gezamenlijke toezichthoudende teams (joint supervisory teams – JST’s) zullen deze aanbevelingen meenemen in hun reguliere toezichtswerkzaamheden. Omdat deze stresstest niet gericht was op het kapitaal van banken, zullen de uitkomsten ervan geen invloed hebben op hun Pijler 2-aanbeveling.

Klokkenluiders