Opções de pesquisa
Página inicial Sala de Imprensa Notas explicativas Estudos e publicações Estatísticas Política monetária O euro Pagamentos e mercados Carreiras
Sugestões
Ordenar por
  • COMUNICADO

BCE conclui teste de esforço centrado na ciber‑resiliência

26 de julho de 2024

  • O teste de esforço avaliou a forma como as instituições de crédito responderiam a um incidente de cibersegurança grave, mas plausível, e recuperariam do mesmo.
  • O teste abrangeu 109 instituições de crédito, tendo 28 sido sujeitas a testes mais exaustivos.
  • Os resultados serão tomados em conta no SREP de 2024 do BCE.

O Banco Central Europeu (BCE) concluiu hoje o seu teste de esforço centrado na ciber‑resiliência, que avaliou a forma como as instituições de crédito responderiam a um incidente de cibersegurança grave, mas plausível, e recuperariam do mesmo. Em geral, o teste de esforço revelou que as instituições de crédito dispõem de planos de resposta e recuperação, mas persistem aspetos a melhorar. Os resultados serão tomados em conta no processo de análise e avaliação para fins de supervisão (Supervisory Review and Evaluation Process – SREP) de 2024 e ajudaram a aumentar a sensibilização das instituições de crédito para os pontos fortes e fracos dos respetivos quadros de ciber‑resiliência.

O exercício foi lançado em janeiro de 2024 e incluiu um cenário fictício de teste de esforço, no qual todas as medidas preventivas falharam e um ciberataque afetou gravemente as bases de dados dos sistemas centrais de cada instituição de crédito. Por conseguinte, o teste de esforço incidiu sobre a forma como as instituições de crédito responderiam a um ciberataque, e recuperariam do mesmo, e não no modo como o evitariam.

A deteção e resolução de deficiências nos quadros de resiliência operacional das instituições supervisionadas, incluindo deficiências decorrentes dos riscos cibernéticos, é uma das prioridades prudenciais do BCE no período de 2024 a 2026. Tal reflete o recente aumento acentuado dos incidentes cibernéticos reportados ao BCE pelas instituições supervisionadas – resultando esse aumento, em parte, da intensificação das tensões geopolíticas e dos desafios colocados pela digitalização do setor bancário.

O teste de esforço abrangeu 109 instituições de crédito diretamente supervisionadas pelo BCE. Todas as instituições de crédito tiveram de responder a um questionário e de apresentar documentação para análise pelos supervisores, tendo uma amostra de 28 instituições sido selecionada para testes mais exaustivos. Foi solicitado a estas últimas que efetuassem um teste efetivo de recuperação dos sistemas de tecnologias de informação e fornecessem provas de que o mesmo tinha sido bem‑sucedido, tendo os supervisores também realizado visitas a essas instituições de crédito. A amostra incluiu diferentes modelos de negócio e localizações geográficas, com vista a refletir o conjunto do sistema bancário da área do euro e assegurar suficiente coordenação com outras atividades de supervisão.

A fim de testarem a sua resposta ao cenário, as instituições de crédito tiveram de demonstrar a sua capacidade para:

  • ativar os respetivos planos de resposta a crises, incluindo os procedimentos internos de gestão de crises e os planos de continuidade da atividade;
  • comunicar com todas as partes interessadas externas, tais como clientes, prestadores de serviços e agentes responsáveis pela aplicação da lei;
  • realizar uma análise para identificar os serviços que seriam afetados e de que forma;
  • aplicar medidas de atenuação, incluindo soluções que ajudariam a instituição de crédito a operar durante o tempo necessário à recuperação plena dos sistemas de tecnologias de informação.

Com vista a testarem a sua capacidade de recuperação do cenário, as instituições de crédito tiveram de demonstrar que podiam:

  • ativar os respetivos planos de recuperação, incluindo o restabelecimento de dados salvaguardados e o alinhamento com terceiros prestadores de serviços críticos na resposta ao incidente;
  • garantir que as áreas afetadas tinham sido recuperadas e estavam operacionais;
  • implementar os ensinamentos retirados, por exemplo, revendo os planos de resposta e recuperação.

O BCE está empenhado em prosseguir o trabalho com as instituições de crédito sob a sua supervisão, a fim de reforçar o quadro de ciber‑resiliência das mesmas. Para o efeito, continuará a encorajar as instituições de crédito a avançar com o trabalho no sentido de cumprirem as expectativas prudenciais, assegurando, entre outros aspetos, que dispõem de planos adequados de continuidade da atividade, de comunicação e de recuperação, os quais devem considerar um leque suficientemente alargado de cenários de risco cibernético. As instituições de crédito também devem ser capazes de cumprir os seus próprios objetivos de recuperação; avaliar corretamente dependências de terceiros prestadores de serviços de tecnologias informação e comunicação críticos; e estimar, de modo adequado, perdas diretas e indiretas decorrentes de um ciberataque.

Os resultados do exercício serão tomados em conta no SREP de 2024, que avalia os perfis de risco individuais das instituições de crédito. O teste de esforço centrado na ciber‑resiliência não incidiu sobre o capital, pelo que os resultados não afetarão as orientações relativas aos fundos próprios do Pilar 2 das instituições de crédito. Os supervisores forneceram feedback a cada instituição de crédito e darão seguimento aos resultados com as mesmas em conformidade. Em alguns casos, as instituições de crédito já melhoraram ou planeiam corrigir as deficiências identificadas durante o exercício.

Para resposta a eventuais perguntas dos meios de comunicação social, contactar Clara Martín Marqués (tel.: +49 69 1344 17919).

Notas

CONTACTO

Banco Central Europeu

Direção-Geral de Comunicação

A reprodução é permitida, desde que a fonte esteja identificada.

Contactos de imprensa
Participação de infrações