Prečo ECB uskutočnila záťažový test kybernetickej odolnosti?
ECB vykonáva záťažové testy každoročne v súlade s článkom 100 smernice o kapitálových požiadavkách a každé dva roky sa podieľa na celoúnijnom záťažovom teste, ktorý koordinuje Európsky orgán pre bankovníctvo (European Banking Authority – EBA). V rokoch, keď sa neuskutočňuje celoúnijný záťažový test EBA, vykonáva ECB cielený záťažový test zameraný na špecifický typ rizika. Tieto testy sa vykonávajú v spolupráci s príslušnými vnútroštátnymi orgánmi.
Počet kybernetických útokov v posledných rokoch výrazne rastie a banky sú voči týmto neustále sa vyvíjajúcim kybernetickým hrozbám vysoko exponované. V rámci priorít dohľadu na obdobie 2024 až 2026 ECB vyzýva dohliadané banky na zintenzívnenie úsilia v oblasti digitálnej transformácie a budovania spoľahlivých rámcov prevádzkovej odolnosti, aby boli pripravené odolávať kybernetickým útokom a v prípade výskytu závažného kybernetického incidentu dokázali rýchlo obnoviť svoju činnosť.
Aký scenár bol v záťažovom teste použitý?
Scenár vychádzal z predpokladu, že kybernetický útok obišiel alebo prekonal preventívne a ochranné opatrenia a úspešne narušil bežnú činnosť banky. Banky následne testovali svoje reakcie a opatrenia obnovy vrátane aktivácie núdzových postupov a plánov a obnovy bežnej prevádzky. Orgány dohľadu potom posúdili, do akej miery sa banky s takouto situáciou dokázali vyrovnať. Účelom testu bolo teda posúdiť reakciu bánk na kybernetický útok a ako sa s ním vysporiadajú, nie ich schopnosť útoku predísť.
Aké informácie banky poskytovali ECB?
Hodnotenie prebiehalo na dvoch úrovniach: štandardnej a rozšírenej úrovni s dodatočnými požiadavkami. 81 bánk zapojených do štandardného hodnotenia bolo požiadaných o vyplnenie dotazníka a poskytnutie súvisiacich dokladov, napr. oznámení SSM o kybernetických incidentoch, vopred určených dokumentov, ako sú interné pravidlá a postupy týkajúce sa rizika IKT, a výsledkov predchádzajúcich testov obnovy IT za použitia podobného scenára ako v záťažovom teste SSM 2024. 28 bánk vybraných do rozšíreného hodnotenia bolo popri poskytnutí uvedených informácií požiadaných o vykonanie skutočného testu obnovy IT v súlade so scenárom záťažového testu kybernetickej odolnosti SSM 2024 a poskytnutie súvisiacich dôkazov o úspešnom obnovení činnosti. V záujme dodatočného zabezpečenia kvality sa v týchto bankách uskutočnila aj návšteva na mieste.
Ako prebiehal výber bánk na rozšírené hodnotenie?
Vzorka vybraná na rozšírené hodnotenie zahŕňa rôzne obchodné modely a krajiny, aby predstavovala zmysluplný obraz bankového systému eurozóny. Výber vzorky nevychádzal z kybernetických rizikových profilov zúčastnených bánk.
Ako ECB využije závery testu?
Test bol prevažne kvalitatívnej povahy. Poznatky získané počas testu budú použité v rámci širšieho postupu preskúmania a hodnotenia orgánmi dohľadu. Na záver hodnotenia boli bankám doručené individuálne správy s odporúčaniami na zlepšenie, ktorých plnenie budú monitorovať spoločné dohliadacie tímy v rámci svojej pravidelnej činnosti dohľadu. Keďže nešlo o záťažový test zameraný na kapitál bánk, jeho výsledky nebudú mať vplyv na odporúčania druhého piliera.