Warum hat die EZB einen Stresstest zur Cyberresilienz durchgeführt?
Die EZB führt gemäß Artikel 100 der Eigenkapitalrichtlinie einmal jährlich aufsichtliche Stresstests durch. Alle zwei Jahre nimmt sie an dem von der Europäischen Bankenaufsichtsbehörde (EBA) organisierten EU-weiten Stresstest teil. In Jahren, in denen kein EU-weiter EBA-Stresstest stattfindet, führt die EZB einen gezielten Stresstest zu einer bestimmten Risikoart durch. Diese Tests finden in Zusammenarbeit mit den nationalen Aufsichtsbehörden statt.
In den letzten Jahren hat sich die Zahl der Cyberangriffe deutlich erhöht, und die Banken sind diesen sich ständig verändernden Cyberbedrohungen massiv ausgesetzt. Vor dem Hintergrund der Aufsichtsprioritäten für 2024-2026 fordert die EZB die beaufsichtigten Banken auf, bei der digitalen Transformation und Erstellung robuster Rahmen für die operationelle Resilienz weiter voranzukommen, damit sie Cyberangriffen standhalten und sich rasch erholen können, sollte es zu einem größeren Cybervorfall kommen.
Welches Szenario wurde im Stresstest verwendet?
In dem Szenario wurde unterstellt, dass Präventiv- und Schutzmaßnahmen umgangen werden oder versagen und ein erfolgreicher Cyberangriff Störungen im Tagesgeschäft der Bank verursacht. Die Banken haben daraufhin ihre Reaktions- und Wiederherstellungsmaßnahmen getestet, was auch die Aktivierung von Notfallverfahren und -plänen sowie Maßnahmen zur Wiederherstellung des normalen Geschäftsbetriebs beinhaltete. Anschließend hat die Aufsicht beurteilt, inwieweit die Banken einem solchen Szenario gewachsen sind. Es wurde also untersucht, wie Banken auf einen Cyberangriff reagieren und wie gut sie sich von diesem erholen, und nicht, inwieweit sie in der Lage sind, einen Angriff abzuwehren.
Welche Art von Daten haben die Banken der EZB gemeldet?
Der Test erfolgte auf zwei Ebenen: Neben einer Standardprüfung gab es eine eingehendere Prüfung mit zusätzlichen Anforderungen. An der Standardprüfung waren 81 Banken beteiligt. Sie wurden aufgefordert, einen Fragebogen zu beantworten und entsprechende Nachweise vorzulegen, wie beispielsweise Meldungen im Rahmen der SSM-Berichterstattung über Cybersicherheitsvorfälle, vorab festgelegte Dokumente wie interne Richtlinien und Verfahren im Zusammenhang mit IKT-Risiken sowie die Ergebnisse früherer IT-Wiederherstellungstests, in denen ein ähnliches Szenario verwendet wurde wie beim SSM-Stresstest 2024 zur Cyberresilienz. 28 Banken wurden neben der Standardprüfung eingehender geprüft. Sie wurden zusätzlich aufgefordert, einen auf das Szenario des SSM-Stresstests 2024 zur Cyberresilienz abgestimmten reellen IT-Wiederherstellungstest durchzuführen und Nachweise für die erfolgreiche Wiederherstellung vorzulegen. Diesen Banken wurde zur weiteren Qualitätssicherung ein Vor-Ort-Besuch abgestattet.
Wie erfolgte die Auswahl der Banken für die eingehendere Prüfung?
Die Stichprobe der Banken, die eingehender geprüft wurden, umfasst Banken mit verschiedenen Geschäftsmodellen aus mehreren Ländern. So soll ein aussagekräftiges Bild des Bankensystems im Euroraum gewonnen werden. Die Auswahl der Stichprobe war nicht von Erwägungen hinsichtlich des Cyberrisikoprofils der beteiligten Banken bestimmt.
Wie wird die EZB die im Test gewonnenen Erkenntnisse nutzen?
Es handelte sich um einen überwiegend qualitativen Test. Die im Test gewonnenen Erkenntnisse werden in den breiter angelegten aufsichtlichen Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process – SREP) 2024 einfließen. Nach Abschluss des Tests erhielten die Banken einen bankspezifischen Bericht mit Empfehlungen für Verbesserungen, die von den gemeinsamen Aufsichtsteams (Joint Supervisory Teams) im Rahmen ihrer regelmäßigen Aufsichtstätigkeit nachverfolgt werden. Da es bei diesem Stresstest nicht um das Kapital der Banken ging, werden die Ergebnisse keine Auswirkungen auf die Säule-2-Empfehlung haben.