26 de julio de 2024
- La prueba de resistencia evaluó la respuesta y recuperación de las entidades de crédito frente a un incidente de ciberseguridad grave, pero plausible
- Participaron 109 entidades de crédito, 28 de las cuales fueron objeto de pruebas más exhaustivas
- Los resultados se tendrán en cuenta en el proceso de revisión y evaluación supervisora del BCE de 2024
El Banco Central Europeo (BCE) ha concluido hoy su prueba de resistencia sobre ciberresiliencia, en la que ha evaluado la respuesta y recuperación de las entidades de crédito frente a un incidente de ciberseguridad grave, pero plausible. En general, la prueba de resistencia ha mostrado que las entidades de crédito disponen de marcos de respuesta y recuperación, aunque siguen existiendo áreas de mejora. Los resultados se tendrán en cuenta en el proceso de revisión y evaluación supervisora (PRES) de 2024 y han contribuido a que las entidades conozcan mejor las fortalezas y debilidades de sus marcos de ciberresiliencia.
El ejercicio comenzó en enero de 2024 e incluyó un escenario ficticio en el que fallaban todas las medidas preventivas y un ciberataque afectaba gravemente a las bases de datos de los sistemas principales de cada entidad. Por tanto, la prueba de resistencia se centró en la respuesta y recuperación de las entidades de crédito frente a un incidente de ciberseguridad, en lugar de en su manera de impedirlo.
Detectar y abordar deficiencias en los marcos de resiliencia operativa de las entidades supervisadas, incluidas las derivadas de los ciberriesgos, es una de las prioridades supervisoras del Mecanismo Único de Supervisión del BCE para 2024-2026. Esto se debe al reciente aumento de los ciberincidentes que las entidades supervisadas han comunicado al BCE, y que tienen su origen, en parte, en la intensificación de las tensiones geopolíticas y en los retos que la digitalización plantea para el sector bancario.
En la prueba de resistencia participaron 109 entidades de crédito supervisadas directamente por el BCE. Todas ellas respondieron a un cuestionario y presentaron documentación para su análisis por los supervisores, y se seleccionó para pruebas más detalladas a una muestra de 28 entidades. Estas tuvieron que realizar una prueba real de recuperación informática y aportar pruebas de que el resultado había sido satisfactorio. También recibieron visitas in situ de los supervisores. La muestra incluyó diferentes modelos de negocio y ubicaciones geográficas para abarcar el conjunto del sistema bancario de la zona del euro y asegurar una coordinación suficiente con otras actividades supervisoras.
Para la evaluación de su respuesta al escenario, las entidades tuvieron que demostrar su capacidad para:
- activar sus planes de respuesta frente a crisis, incluidos los procedimientos de gestión de crisis internos y los planes de continuidad del negocio;
- comunicarse con todas las partes interesadas externas, como clientes, proveedores de servicios y cuerpos y fuerzas de seguridad;
- llevar a cabo un análisis para determinar qué servicios se verían afectados y de qué manera;
- aplicar medidas de mitigación, incluidas soluciones alternativas que ayudarían a la entidad a operar durante el tiempo necesario para recuperar plenamente los sistemas informáticos.
Para la evaluación de su capacidad de recuperación frente al escenario, las entidades tuvieron que demostrar que podrían:
- activar sus planes de recuperación, incluido el restablecimiento de los datos guardados en copias de seguridad y la coordinación de la respuesta al incidente con los proveedores de servicios externos críticos;
- asegurar la recuperación y el funcionamiento de las áreas afectadas;
- aplicar las enseñanzas extraídas, por ejemplo, revisando sus planes de respuesta y de recuperación.
El BCE se ha comprometido a seguir trabajando con las entidades que supervisa para reforzar su marco de ciberresiliencia. Para ello, continuará animando a las entidades a seguir avanzando en el cumplimiento de las expectativas supervisoras, asegurándose, entre otras cosas, de que cuentan con planes adecuados de continuidad del negocio, comunicación y recuperación que consideran una gama suficientemente amplia de escenarios de ciberriesgo. Las entidades también deben poder cumplir sus propios objetivos de recuperación, evaluar adecuadamente las dependencias de proveedores de servicios externos críticos de TIC, y estimar adecuadamente las pérdidas directas e indirectas derivadas de un ciberataque.
Los resultados del ejercicio se tendrán en cuenta en el PRES de 2024, que evalúa los perfiles de riesgo individuales de las entidades. La prueba de resistencia sobre ciberresiliencia no se centró en el capital de las entidades, por lo que sus resultados no afectarán a la recomendación de Pilar 2. Los supervisores han enviado comentarios a cada entidad y realizarán junto a ellas un seguimiento de los mismos. En algunos casos, las entidades ya han mejorado o tienen previsto subsanar las deficiencias detectadas en el ejercicio.
Persona de contacto para consultas de los medios de comunicación: Clara Martín Marqués, tel.: +49 69 1344 17919.
Notas
- El BCE realiza anualmente pruebas de resistencia supervisoras de conformidad con el artículo 100 de la Directiva de Requisitos de Capital y participa cada dos años en una prueba de resistencia a escala de la UE coordinada por la Autoridad Bancaria Europea. En los años en los que no se efectúan pruebas de resistencia a escala de la UE, el BCE realiza una prueba de resistencia centrada en un tema de interés específico, como el análisis de sensibilidad del riesgo de tipo de interés en la cartera de inversión (IRRBB) en 2017, el análisis de sensibilidad del riesgo de liquidez en 2019, y la prueba de resistencia sobre riesgo climático en 2022.
- El BCE supervisa actualmente de forma directa a 113 entidades de crédito. En la prueba de resistencia sobre ciberresiliencia participaron las 109 entidades que estaban sujetas a la supervisión directa del BCE en el momento en el que comenzó el ejercicio, con algunas excepciones por causas específicas, como reestructuraciones o cambios en la clasificación de significatividad.
Banco Central Europeo
Dirección General de Comunicación
- Sonnemannstrasse 20
- 60314 Frankfurt am Main, Alemania
- +49 69 1344 7455
- media@ecb.europa.eu
Se permite la reproducción, siempre que se cite la fuente.
Contactos de prensa