26. julij 2024
- Stresni test je pokazal, kako bi se banke odzvale na resen, a verjeten kibernetski incident in okrevale po njem.
- Testiranih je bilo 109 bank, od tega 28 obsežneje.
- Rezultati bodo upoštevani v procesu SREP v letu 2024.
Evropska centralna banka (ECB) je danes zaključila stresni test kibernetske odpornosti, v katerem je preverjala, kako bi se banke odzvale na resen, a verjeten kibernetski incident in kako bi po takšnem incidentu okrevale. Test je na splošno pokazal, da banke imajo vzpostavljene okvire za odziv in okrevanje, vendar jih morajo na nekaterih področjih izboljšati. Rezultati se bodo upoštevali v procesu nadzorniškega pregledovanja in ovrednotenja (SREP) v letu 2024 in bodo bankam pomagali, da se bolje zavedajo prednosti in slabosti svojih okvirov za kibernetsko odpornost.
Stresni test se je začel januarja 2024 in je potekal po izmišljenem stresnem scenariju, v katerem vsi preventivni ukrepi odpovejo, tako da kibernetski napad močno prizadene baze podatkov osrednjega sistema vsake banke. Glavni poudarek stresnega testa torej ni bil v tem, kako bi banke preprečile kibernetski napad, temveč kako bi se nanj odzvale in okrevale po njem.
Odkrivanje in odpravljanje pomanjkljivosti v okvirih nadzorovanih bank za operativno odpornost, vključno s tistimi, ki izhajajo iz kibernetskih tveganj, je ena od prednostnih nalog nadzora ECB v obdobju 2024–2026. S tem se ECB odziva na nedavno močno povečanje števila kibernetskih incidentov, o katerih so nadzorovane banke poročale ECB. Povečanje je deloma posledica stopnjevanja geopolitičnih napetosti ter izzivov, ki izhajajo iz digitalizacije bančnega sektorja.
V stresnem testu je sodelovalo 109 bank pod neposrednim nadzorom ECB. Vse so morale odgovoriti na vprašalnik in predložiti dokumentacijo, ki so jo nadzorniki analizirali, vzorec 28 bank pa je bil izbran še za obsežnejše testiranje. Te banke so morale dejansko testirati, ali se IT-sistem ponovno vzpostavi, in predložiti dokaze, da je bilo okrevanje uspešno, poleg tega pa so nadzorniki opravili tudi pregled v prostorih banke. Vzorec je zajemal različne poslovne modele in geografske lokacije, da bi bil reprezentativen za širši bančni sistem euroobmočja in da bi se zagotovila zadostna usklajenost z drugimi nadzornimi dejavnostmi.
Za testiranje odziva na scenarij so morale banke dokazati, da so sposobne:
- aktivirati načrt za krizno odzivanje, vključno z internimi postopki za krizno upravljanje in načrti neprekinjenega poslovanja;
- komunicirati z vsemi zunanjimi deležniki, kot so komitenti, ponudniki storitev in organi kazenskega pregona;
- analizirati, katere storitve bi bile prizadete in kako;
- izvajati ukrepe za ublažitev posledic, vključno z zasilnimi rešitvami za zagotavljanje storitev, ki bi banki omogočale, da posluje tudi v času, ki ga potrebuje, da ponovno vzpostavi informacijske sisteme.
Za testiranje zmožnosti okrevanja po scenariju so morale banke dokazati, da so lahko:
- aktivirale načrt za okrevanje, vključno z obnovitvijo varnostno kopiranih podatkov, in se s ključnimi tretjimi ponudniki storitev uskladile o tem, kako se odzvati na incident;
- zagotovile, da so bila prizadeta območja ponovno vzpostavljena in da so delovala;
- praktično uporabile v incidentu pridobljena spoznanja, na primer tako, da so posodobile svoj načrt za odzivanje na incidente in okrevanje.
ECB bo tudi v prihodnje sodelovala z bankami pod svojim nadzorom, da bi okrepila njihove okvire za kibernetsko odpornost. V ta namen bo banke spodbujala, naj si še naprej prizadevajo izpolniti nadzorniška pričakovanja, kar med drugim pomeni, da imajo vzpostavljene ustrezne načrte neprekinjenega poslovanja, komunikacije in okrevanja, ki upoštevajo dovolj širok spekter scenarijev kibernetskih tveganj. Poleg tega bi morale biti sposobne, da izpolnijo svoje lastne cilje glede ponovne vzpostavitve sistemov, analizirajo odvisnost od kritičnih tretjih ponudnikov storitev IKT ter zanesljivo ocenijo neposredne in posredne izgube, ki bi jih imele zaradi kibernetskega napada.
Rezultati testa se bodo upoštevali v procesu SREP v letu 2024, s katerim se ocenjuje profil tveganosti vsake banke. Stresni test kibernetske odpornosti ni usmerjen na kapital bank, zato njegovi rezultati ne bodo vplivali na kapitalske napotke bankam iz drugega stebra. Nadzorniki so bankam posredovali individualne povratne informacije o rezultatih testa in bodo ustrezno ukrepali. V nekaterih primerih so banke svoje stanje že izboljšale ali nameravajo odpraviti ugotovljene pomanjkljivosti.
Kontaktna oseba za novinarska vprašanja je Clara Martín Marqués, tel. +49 69 1344 17919.
Opombe
- ECB izvaja nadzorniške stresne teste vsako leto na podlagi člena 100 direktive o kapitalskih zahtevah, vsaki dve leti pa sodeluje v stresnem testu na ravni EU, ki ga usklajuje Evropski bančni organ. V letih, ko ni stresnega testa na ravni EU, ECB izvede ciljno usmerjen stresni test, ki obravnava specifično področje, kot so analiza občutljivosti na obrestno tveganje v bančni knjigi v letu 2017, analiza občutljivosti na likvidnostno tveganje v letu 2019 in podnebni stresni test v letu 2022.
- ECB trenutno neposredno nadzira 113 bank. V stresnem testu kibernetske odpornosti je sodelovalo 109 bank, ki so bile v času izvedbe stresnega testa pod neposrednim nadzorom ECB, z nekaj izjemami zaradi razlogov, specifičnih za vsako banko, kot sta prestrukturiranje ali sprememba statusa pomembnosti.
Evropska centralna banka
Generalni direktorat Stiki z javnostjo
- Sonnemannstrasse 20
- 60314 Frankfurt na Majni, Nemčija
- +49 69 1344 7455
- media@ecb.europa.eu
Razmnoževanje je dovoljeno pod pogojem, da je naveden vir.
Kontakti za medije