Možnosti iskanja
Domov Mediji Pojasnjujemo Raziskave in publikacije Statistika Denarna politika Euro Plačila in trgi Zaposlitve
Predlogi
Razvrsti po

Pogosta vprašanja o stresnem testu kibernetske odpornosti v letu 2024

Zakaj je ECB izvedla stresni test kibernetske odpornosti?

ECB izvaja nadzorniške stresne teste vsako leto na podlagi člena 100 direktive o kapitalskih zahtevah, vsaki dve leti pa sodeluje v stresnem testu na ravni EU, ki ga usklajuje Evropski bančni organ (EBA). V letih, ko ni vseevropskega stresnega testa EBA, izvede ECB ciljno usmerjen stresni test, ki se osredotoča na določeno vrsto tveganja. Ta test se izvede v sodelovanju z nacionalnimi nadzornimi organi.

V zadnjih letih se je število kibernetskih napadov občutno povečalo, zato so banke močno izpostavljene kibernetskim tveganjem, ki se ves čas spreminjajo. V skladu s prednostnimi nalogami nadzora za obdobje 2024–2026 ECB spodbuja nadzorovane banke, naj nadaljujejo z digitalno preobrazbo in vzpostavijo zanesljive okvire za operativno odpornost, tako da bodo sposobne vzdržati kibernetske napade in bodo lahko hitro okrevale, če bi prišlo do večjega kibernetskega incidenta.

Kakšen scenarij je bil uporabljen v stresnem testu?

Scenarij je predvideval, da napadalci zaobidejo preventivne postopke in zaščitne ukrepe ali da ti odpovejo, tako da kibernetski napad dejansko prizadene normalno poslovanje banke. Banke so nato testirale svoje ukrepe za odziv na napad in okrevanje po njem, vključno z aktiviranjem postopkov v izrednih razmerah in načrtov ravnanja v nepredvidljivih okoliščinah ter ukrepov za ponovno vzpostavitev normalnega delovanja. Nadzorniki so zatem ocenili, kako so se banke sposobne spoprijeti s takšnim scenarijem. Namen testa ni bil ugotoviti, ali so banke sposobne preprečiti kibernetski napad, temveč kako bi se odzvale nanj in ponovno vzpostavile poslovanje.

Kakšne informacije so banke predložile ECB?

Izvedeni sta bili dve ravni ocenjevanja, standardna raven in razširjena raven z dodatnimi zahtevami. Na standardni ravni je bilo ocenjenih 81 bank, ki so morale izpolniti vprašalnik in predložiti dodatna dokazila, kot so uradna obvestila enotnemu mehanizmu nadzora o kibernetskem incidentu, vnaprej določeni dokumenti, kot so interne politike in postopki v zvezi s tveganjem IKT, ter rezultati preteklih testov za ponovno vzpostavitev IT sistemov, v katerih so bili uporabljeni podobni scenariji kot v stresnem testu kibernetske odpornosti, ki ga je leta 2024 izvedel enotni mehanizem nadzora (EMN). Poleg teh dejavnosti je moralo 28 bank, ki so bile vključene v razširjeno oceno, tudi dejansko testirati ponovno vzpostavitev IT sistema po scenariju stresnega testa kibernetske odpornosti 2024 in predložiti ustrezna dokazila o uspešni ponovni vzpostavitvi sistema. Za dodatno zagotavljanje kakovosti je bil opravljen tudi obisk v prostorih teh bank.

Kako ste izbrali banke za razširjeno ocenjevanje?

Vzorec je zajel različne poslovne modele in države, da bi bil dovolj reprezentativen za bančni sistem euroobmočja. Sam profil kibernetske tveganosti udeleženih bank ni bil glavni dejavnik pri sestavljanju vzorca.

Kako bo ECB uporabila spoznanja, ki jih je pridobila s testom?

Test je bil predvsem kvalitativne narave. Za nekatere banke so rezultati lahko kvalitativno vplivali na kapitalske zahteve iz drugega stebra, saj so bila spoznanja, pridobljena med testom, uporabljena v širšem procesu nadzorniškega pregledovanja in ovrednotenja. Ob zaključku stresnega testa so vse banke prejele individualno poročilo s priporočili za izboljšanje, ki jih bodo skupne nadzorniške skupine preverjale v okviru rednih nadzornih dejavnosti. Ker to ni bil stresni test, osredotočen na kapital bank, njegovi rezultati ne bodo vplivali na kapitalske napotke bankam iz drugega stebra.

Žvižgaštvo