26 juli 2024
- Stresstest toont resultaat van reactie en herstel banken na ernstig maar realistisch cyberincident
- 109 banken getest, waarvan 28 uitgebreid
- Resultaten worden meegenomen in de SREP van de ECB voor 2024
De Europese Centrale Bank (ECB) heeft vandaag haar stresstest voor cyberweerbaarheid afgerond, waarin werd nagegaan hoe banken zouden reageren op een ernstig maar realistisch cyberincident en hoe ze daarvan zouden herstellen. Al met al laat de stresstest zien dat banken over respons- en herstelmaatregelen beschikken, maar dat er ruimte is voor verbetering. De resultaten zullen worden meegenomen in de procedure voor prudentiële toetsing en evaluatie (supervisory review and evaluation process – SREP) voor 2024. Ook hebben ze banken meer bewust gemaakt van de sterke en zwakke punten van hun maatregelen op het gebied van cyberweerbaarheid.
De stresstest ging in januari 2024 van start en omvatte een fictief scenario, waarin alle preventieve maatregelen tevergeefs waren en een cyberaanval de databases van de kernsystemen van de bank ernstig kon raken. De test richtte zich nadrukkelijk op de manier waarop banken zouden reageren en hoe ze zich zouden herstellen van zo’n cyberaanval en dus niet zozeer op de manier waarop ze deze zouden voorkomen.
Het opsporen en aanpakken van tekortkomingen in de operationele weerbaarheid van onder toezicht staande banken, zoals op het gebied van cyberrisico’s, is een van de toezichtsprioriteiten van de ECB voor 2024-2026. Dit is een reactie op de recente sterke toename van cyberincidenten die de onder toezicht staande banken aan de ECB hebben gemeld – een stijging die deels het gevolg is van de toenemende geopolitieke spanningen en de uitdagingen vanwege de digitalisering van de banksector.
Bij de stresstest waren 109 banken betrokken die onder rechtstreeks toezicht van de ECB staan. Alle banken moesten een vragenlijst beantwoorden en documentatie aanleveren voor een analyse door de toezichthouders. Daarnaast vond ook een steekproef plaats van 28 banken voor een uitgebreidere test. Die werden gevraagd een daadwerkelijke IT-hersteltest uit te voeren en aan te tonen dat deze succesvol was geweest. Bovendien zijn de toezichthouders ook ter plaatse geweest. De steekproef omvatte verschillende bedrijfsmodellen en geografische locaties om een goede afspiegeling te vormen van het bredere bankwezen van het eurogebied en te zorgen voor voldoende coördinatie met andere toezichtsactiviteiten.
In hun reactie op het scenario moesten banken aantonen dat ze in staat waren om:
- hun calamiteitenplannen te activeren, met inbegrip van interne crisisbeheersingsprocedures en bedrijfscontinuïteitsplannen
- te communiceren met alle externe belanghebbenden, zoals klanten, dienstverleners en rechtshandhavers
- een analyse uit te voeren om vast te stellen welke diensten hoe geraakt zouden worden
- mitigerende maatregelen uit te voeren, zoals workarounds, die de bank zouden helpen om operationeel te blijven gedurende de tijd die nodig zou zijn om de IT-systemen volledig te herstellen.
Om te testen in hoeverre ze zich van het scenario konden herstellen, moesten banken aantonen dat ze:
- hun herstelplannen konden activeren, met inbegrip van herstel van back-upgegevens en afstemming met kritieke derde dienstverleners over hoe op het incident moest worden gereageerd
- ervoor konden zorgen dat de getroffen gebieden werden hersteld en weer operationeel werden
- de lessen die ze geleerd hadden konden toepassen, bijvoorbeeld door hun respons- en herstelplannen te evalueren.
De ECB zet zich ervoor in om de banken waarop ze toezicht houdt te helpen hun cyberweerbaarheid te versterken. Daartoe zal de ECB de banken verder aansporen om aan de toezichtsverwachtingen te blijven voldoen, onder meer door ervoor te zorgen dat ze beschikken over goed werkende bedrijfscontinuïteits-, communicatie- en herstelplannen, waarbij ze rekening moeten houden met een breed scala aan cyberrisicoscenario’s. Banken moeten ook hun eigen hersteldoelstellingen kunnen realiseren, de afhankelijkheid van cruciale derde ICT-dienstverleners naar behoren kunnen beoordelen, en directe en indirecte verliezen als gevolg van een cyberaanval juist kunnen inschatten.
De uitkomsten van de exercitie worden meegenomen in de SREP van 2024, waarin de risicoprofielen van de afzonderlijke banken worden beoordeeld. De stresstest voor cyberweerbaarheid richt zich niet op het kapitaal van banken, dus de resultaten ervan hebben geen invloed op de Pijler 2-aanbeveling. De toezichthouders hebben elke bank individuele feedback gegeven en zullen die opvolgen. In sommige gevallen hebben banken al verbeteringen gerealiseerd of een planning opgesteld om de tijdens de exercitie geconstateerde tekortkomingen te verhelpen.
De media kunnen met hun vragen terecht bij Clara Martín Marqués, tel. +49 69 1344 17919.
Toelichting
- De ECB voert jaarlijks stresstests voor toezichtdoeleinden uit, in overeenstemming met artikel 100 van de richtlijn kapitaalvereisten, en werkt om de twee jaar mee aan een EU-brede stresstest die wordt gecoördineerd door de Europese Bankautoriteit. In de jaren dat er geen stresstest van de Europese Bankautoriteit voor de hele EU plaatsvindt, voert de ECB een gerichte stresstest over een specifiek thema uit, zoals de gevoeligheidsanalyse van renterisico in het bankboek in 2017, de gevoeligheidsanalyse van liquiditeitsrisico in 2019 en de klimaatrisicostresstest in 2022.
- De ECB houdt momenteel rechtstreeks toezicht op 113 banken. De 109 banken die hebben deelgenomen aan de stresstest voor cyberweerbaarheid waren de banken die bij de start van de exercitie onder direct toezicht van de ECB stonden, met enkele uitsluitingen om bankspecifieke redenen zoals herstructurering of wijziging van de significantiestatus.
Europese Centrale Bank
Directoraat-generaal Communicatie
- Sonnemannstrasse 20
- 60314 Frankfurt am Main, Duitsland
- +49 69 1344 7455
- media@ecb.europa.eu
Reproductie is alleen toegestaan met bronvermelding.
Contactpersonen voor de media