Sökalternativ
Hem Media Förklaringar Forskning och publikationer Statistik Penningpolitik €uron Betalningar och marknader Karriär och jobb
Förslag
Sortera efter

Vanliga frågor om stresstestet av cyberresiliens 2024

Varför gjorde ECB ett stresstest av cyberresiliens?

ECB genomför årliga tillsynsstresstester i enlighet med artikel 100 i kapitalkravsdirektivet och deltar vartannat år i ett EU-omfattande stresstest som samordnas av Europeiska bankmyndigheten (EBA). De år då EBA inte genomför något EU-omfattande stresstest genomför ECB riktade stresstester med fokus på en viss typ av risk. Dessa tester genomförs i samarbete med de nationella tillsynsmyndigheterna.

De senaste åren har cyberangreppen ökat markant och bankerna är mycket utsatta för dessa, hela tiden föränderliga, hot. I tillsynsprioriteringarna för 2024–2026 uppmanar ECB bankerna under tillsyn att fortsätta med sin digitala omställning och bygga upp robusta ramverk för operativ motståndskraft, så att de kan stå emot cyberangrepp och snabbt återhämta sig om en större cyberincident skulle inträffa.

Vilket scenario användes i stresstestet?

I scenariot antogs att de förebyggande åtgärderna inte hade hjälpt, att angriparna lyckades ta sig igenom skyddet och att cyberangreppet gav upphov till störningar i bankens dagliga verksamhet. Bankerna testade sedan sitt agerande och sina återhämtningsåtgärder, inbegripet aktivering av krisförfaranden och beredskapsplaner och återupprättande av normal verksamhet. Tillsynsmyndigheterna gjorde sedan en bedömning av hur bankerna klarade av scenariot. I testet tittade man alltså på hur banker agerar vid och återhämtar sig från cyberangrepp, snarare än på deras förmåga att förhindra sådana angrepp.

Vilken typ av uppgifter skulle bankerna rapportera in till ECB?

Testet bestod av två nivåer: en standardnivå och en mer avancerad nivå med ytterligare krav. De 81 banker som deltog i standardtestet fick svara på frågor och lämna in styrkande underlag, som anmälningar om cyberincidenter till SSM, tidigare framtagna dokument, som interna riktlinjer och rutiner angående IKT-risker samt resultat från tidigare tester av IT-systemåterställning med scenarier liknande det som användes i SSM:s stresstest av cyberresiliens 2024. Utöver ovanstående skulle de 28 banker som deltog i det mer avancerade testet även testa återställning av IT-systemen på riktigt i det scenario som användes i SSM:s stresstest av cyberresiliens 2024 och lämna in bevis på att man hade klarat det. Dessa banker fick även besök av tillsynsmedarbetare för ytterligare kvalitetssäkring.

Hur valdes bankerna ut för det mer avancerade testet?

Bankerna som fick göra det mer avancerade testet hade olika affärsmodeller och fanns i olika länder så att man skulle få en bra bild av banksystemet i euroområdet. De valdes inte ut på grund av sin cyberriskprofil.

Hur kommer ECB att använda resultaten från testet?

Testet var till övervägande del kvalitativt. Det som framkom i testet kommer att användes i den mer omfattande översyns- och utvärderingsprocessen 2024. Efter testet fick bankerna en bankspecifik rapport med rekommendationer om förbättringar, som kommer att följas upp av de gemensamma tillsynsgrupperna inom ramen för det vanliga tillsynsarbetet. Eftersom stresstestet inte handlade om bankernas kapital kommer resultaten inte att påverka bankernas pelare 2-vägledning.

Visselblåsning