26 de julho de 2024
- O teste de esforço avaliou a forma como as instituições de crédito responderiam a um incidente de cibersegurança grave, mas plausível, e recuperariam do mesmo.
- O teste abrangeu 109 instituições de crédito, tendo 28 sido sujeitas a testes mais exaustivos.
- Os resultados serão tomados em conta no SREP de 2024 do BCE.
O Banco Central Europeu (BCE) concluiu hoje o seu teste de esforço centrado na ciber‑resiliência, que avaliou a forma como as instituições de crédito responderiam a um incidente de cibersegurança grave, mas plausível, e recuperariam do mesmo. Em geral, o teste de esforço revelou que as instituições de crédito dispõem de planos de resposta e recuperação, mas persistem aspetos a melhorar. Os resultados serão tomados em conta no processo de análise e avaliação para fins de supervisão (Supervisory Review and Evaluation Process – SREP) de 2024 e ajudaram a aumentar a sensibilização das instituições de crédito para os pontos fortes e fracos dos respetivos quadros de ciber‑resiliência.
O exercício foi lançado em janeiro de 2024 e incluiu um cenário fictício de teste de esforço, no qual todas as medidas preventivas falharam e um ciberataque afetou gravemente as bases de dados dos sistemas centrais de cada instituição de crédito. Por conseguinte, o teste de esforço incidiu sobre a forma como as instituições de crédito responderiam a um ciberataque, e recuperariam do mesmo, e não no modo como o evitariam.
A deteção e resolução de deficiências nos quadros de resiliência operacional das instituições supervisionadas, incluindo deficiências decorrentes dos riscos cibernéticos, é uma das prioridades prudenciais do BCE no período de 2024 a 2026. Tal reflete o recente aumento acentuado dos incidentes cibernéticos reportados ao BCE pelas instituições supervisionadas – resultando esse aumento, em parte, da intensificação das tensões geopolíticas e dos desafios colocados pela digitalização do setor bancário.
O teste de esforço abrangeu 109 instituições de crédito diretamente supervisionadas pelo BCE. Todas as instituições de crédito tiveram de responder a um questionário e de apresentar documentação para análise pelos supervisores, tendo uma amostra de 28 instituições sido selecionada para testes mais exaustivos. Foi solicitado a estas últimas que efetuassem um teste efetivo de recuperação dos sistemas de tecnologias de informação e fornecessem provas de que o mesmo tinha sido bem‑sucedido, tendo os supervisores também realizado visitas a essas instituições de crédito. A amostra incluiu diferentes modelos de negócio e localizações geográficas, com vista a refletir o conjunto do sistema bancário da área do euro e assegurar suficiente coordenação com outras atividades de supervisão.
A fim de testarem a sua resposta ao cenário, as instituições de crédito tiveram de demonstrar a sua capacidade para:
- ativar os respetivos planos de resposta a crises, incluindo os procedimentos internos de gestão de crises e os planos de continuidade da atividade;
- comunicar com todas as partes interessadas externas, tais como clientes, prestadores de serviços e agentes responsáveis pela aplicação da lei;
- realizar uma análise para identificar os serviços que seriam afetados e de que forma;
- aplicar medidas de atenuação, incluindo soluções que ajudariam a instituição de crédito a operar durante o tempo necessário à recuperação plena dos sistemas de tecnologias de informação.
Com vista a testarem a sua capacidade de recuperação do cenário, as instituições de crédito tiveram de demonstrar que podiam:
- ativar os respetivos planos de recuperação, incluindo o restabelecimento de dados salvaguardados e o alinhamento com terceiros prestadores de serviços críticos na resposta ao incidente;
- garantir que as áreas afetadas tinham sido recuperadas e estavam operacionais;
- implementar os ensinamentos retirados, por exemplo, revendo os planos de resposta e recuperação.
O BCE está empenhado em prosseguir o trabalho com as instituições de crédito sob a sua supervisão, a fim de reforçar o quadro de ciber‑resiliência das mesmas. Para o efeito, continuará a encorajar as instituições de crédito a avançar com o trabalho no sentido de cumprirem as expectativas prudenciais, assegurando, entre outros aspetos, que dispõem de planos adequados de continuidade da atividade, de comunicação e de recuperação, os quais devem considerar um leque suficientemente alargado de cenários de risco cibernético. As instituições de crédito também devem ser capazes de cumprir os seus próprios objetivos de recuperação; avaliar corretamente dependências de terceiros prestadores de serviços de tecnologias informação e comunicação críticos; e estimar, de modo adequado, perdas diretas e indiretas decorrentes de um ciberataque.
Os resultados do exercício serão tomados em conta no SREP de 2024, que avalia os perfis de risco individuais das instituições de crédito. O teste de esforço centrado na ciber‑resiliência não incidiu sobre o capital, pelo que os resultados não afetarão as orientações relativas aos fundos próprios do Pilar 2 das instituições de crédito. Os supervisores forneceram feedback a cada instituição de crédito e darão seguimento aos resultados com as mesmas em conformidade. Em alguns casos, as instituições de crédito já melhoraram ou planeiam corrigir as deficiências identificadas durante o exercício.
Para resposta a eventuais perguntas dos meios de comunicação social, contactar Clara Martín Marqués (tel.: +49 69 1344 17919).
Notas
- O BCE conduz testes de esforço prudenciais numa base anual em conformidade com o artigo 100.º da diretiva em matéria de requisitos de fundos próprios (Capital Requirements Directive – CRD) e, de dois em dois anos, participa num teste de esforço a nível da União Europeia (UE) coordenado pela Autoridade Bancária Europeia (European Banking Authority – EBA). Nos anos em que não é realizado um teste de esforço a nível da UE, o BCE conduz um exercício de teste de esforço direcionado, centrado num tema específico de interesse, como foi o caso da análise de sensibilidade ao risco de taxa de juro da carteira bancária em 2017, da análise de sensibilidade ao risco de liquidez em 2019 e do teste de esforço centrado no risco climático em 2022.
- Atualmente, o BCE supervisiona diretamente 113 instituições de crédito. As 109 instituições de crédito abrangidas pelo teste de esforço centrado na ciber‑resiliência eram as que se encontravam sob a supervisão direta do BCE no momento do lançamento do exercício, com algumas exclusões por razões específicas, tais como reestruturação ou alteração do caráter significativo das instituições de crédito em causa.
Banco Central Europeu
Direção-Geral de Comunicação
- Sonnemannstrasse 20
- 60314 Frankfurt am Main, Alemanha
- +49 69 1344 7455
- media@ecb.europa.eu
A reprodução é permitida, desde que a fonte esteja identificada.
Contactos de imprensa