Miks korraldas EKP küberkerksuse stressitesti?
EKP teeb järelevalvealaseid stressiteste igal aastal kooskõlas kapitalinõuete direktiivi artikliga 100 ning osaleb iga kahe aasta järel Euroopa Pangandusjärelevalve (EBA) koordineeritavas ELi-üleses stressitestis. Nendel aastatel, kui EBA ei tee ELi-ülest stressitesti, korraldab EKP konkreetsele riskile keskenduva sihipärase stressitesti. Need testid viiakse läbi koostöös riiklike järelevalveasutustega.
Viimastel aastatel on küberründed märkimisväärselt sagenenud ja pangad on nende pidevalt muutuvate küberohtude suhtes väga avatud. 2024.–2026. aasta järelevalveprioriteete arvesse võttes on EKP seadnud järelevalve alla kuuluvatele pankadele ülesandeks teha täiendavaid edusamme digipöörde saavutamisel ja usaldusväärsete tegevuskerksuse raamistike väljatöötamisel, et nad oleksid valmis küberrünnetega toime tulema ja oluliste küberintsidentide ilmnemise korral kiiresti taastuma.
Millist stsenaariumit stressitestis kasutati?
Kasutatud stsenaariumis eeldati, et ennetus- ja kaitsemeetmeid on eiratud või need ei toimi tulemuslikult ning küberründe tagajärjel katkeb panga igapäevane tegevus. Testi käigus katsetasid pangad oma reageerimis- ja taastamismeetmeid, käivitades muu hulgas hädaolukorra protseduurid ja -kavad ning taastades tavapärase tegevuse. Seejärel andsid järelevalveeksperdid pankadele hinnangu nende võimekuse kohta sellise stsenaariumiga toime tulla. Testi raames ei hinnatud seega mitte pankade suutlikkust küberrünnet ära hoida, vaid pigem seda, kuidas nad küberründele reageerivad ja sellest taastuvad.
Millist teavet esitasid pangad EKP-le?
Hindamine viidi läbi kahel tasemel: tavapärane hindamine ja lisanõuetega põhjalikum hindamine. Tavapärases hindamises osalenud 81 pangal paluti vastata küsimustikule ja esitada seonduvad tõendid, nagu ühtse järelevalvemehhanismi küberintsidentidest teatamise teatised, eelnevalt kindlaks määratud dokumendid, näiteks IKT-riskiga seotud sise-eeskirjad ja -menetlused, ning tulemused varasemate IT-taastetestide kohta, milles kasutati 2024. aasta küberkerksuse stressitestiga sarnast stsenaariumit. Lisaks neile tõenditele pidid põhjalikumas hindamises osalenud 28 panka läbi viima kooskõlas ühtse järelevalvemehhanismi 2024. aasta küberkerksuse stressitesti stsenaariumiga tegeliku IT-taastetesti ja esitama tõendid taastamise edukuse kohta. Nendes pankades käidi täiendavaks kvaliteedikontrolliks ka kohapeal.
Kuidas valiti välja pangad põhjalikumaks hindamiseks?
Põhjaliku hindamise valim hõlmab euroala pangandussüsteemi asjakohaseks kajastamiseks erineva ärimudeliga ja erinevates riikides asuvaid panku. Valimi moodustamisel ei lähtutud asjaomaste pankade küberriski profiilist.
Kuidas kavatseb EKP stressitesti käigus saadud teavet kasutada?
Stressitest oli valdavalt kvalitatiivne. Selle käigus saadud teavet kasutatakse ulatuslikumas 2024. aasta järelevalvealase läbivaatamise ja hindamise protsessis. Stressitesti järel sai iga pank talle suunatud aruande soovitustega olukorra parandamiseks. Soovituste järgmist kontrollivad ühised järelevalverühmad oma korralise järelevalvetegevuse käigus. Kuna stressitesti keskmes ei olnud pankade kapital, ei mõjuta testi tulemused pankade 2. samba soovituslikke nõudeid.