07/26/2024 | Press release | Distributed by Public on 07/26/2024 04:47
Europeiska centralbanken avslutade i dag sitt stresstest om cyberresiliens, där man undersökte hur bankerna skulle agera vid en allvarlig men realistisk cybersäkerhetsincident och klara av att återhämta sig från den. Överlag visade stresstestet att bankerna har rutiner för hur man ska agera och återhämta sig men att det fortfarande finns utrymme för förbättringar. Resultaten kommer att användas som underlag i 2024 års översyns- och utvärderingsprocess (ÖUP) och har gett bankerna ökad förståelse för styrkorna och svagheterna i sina cyberresiliensramar.
Testet inleddes i januari 2024 och bestod av ett fiktivt stresstestscenario, där inga förebyggande åtgärder hade fungerat och ett cyberangrepp hade stor påverkan på databaserna i de olika bankernas centrala system. Syftet var främst att se hur bankerna skulle agera vid ett cyberangrepp och klara av att återhämta sig, snarare än hur de skulle förhindra ett sådant angrepp.
Att upptäcka och åtgärda brister i bankernas ramverk för operativ motståndskraft, bland annat med avseende på cyberrisker, är en av tillsynsprioriteringarna för ECB:s gemensamma tillsynsmekanism 2024-2026. Det beror på att antalet cyberincidenter som bankerna under tillsyn anmäler till ECB på sista tiden har stigit kraftigt, vilket bland annat beror på ökande geopolitiska spänningar liksom utmaningar i samband med digitaliseringen av banksektorn.
Det var 109 banker under ECB:s direkta tillsyn som genomgick testet. Alla bankerna fick svara på frågor och lämna in dokumentation som sedan analyserades på ECB. Därefter valdes 28 banker ut som fick genomgå mer omfattande tester. De senare ombads att testa återställningen av IT-systemen på riktigt och tillhandahålla bevis på att man hade klarat det. De fick även besök av tillsynsmedarbetare. De banker som fick genomföra dessa tester hade olika affärsmodeller och fanns på olika platser geografiskt så att man kunde täcka in en stor del av banksystemet i euroområdet och säkerställa tillräcklig samordning med annat tillsynsarbete.
För att testa sitt agerande i scenariot skulle bankerna visa sin förmåga att
För att testa sin förmåga att återhämta sig från scenariot skulle bankerna visa att de kunde
ECB ämnar fortsätta att arbeta med de banker man utövar tillsyn över för att stärka deras ramverk för cyberresiliens. Därför kommer ECB att uppmuntra bankerna att fortsätta arbeta för att leva upp till tillsynsförväntningarna genom att bland annat se till att de har lämpliga driftskontinuitets-, kommunikations- och återhämtningsplaner innehållande lämplig mängd cyberriskscenarier av varierande slag. Bankerna bör även ha förmåga att uppnå sina egna återhämtningsmål, göra en grundlig bedömning av sitt beroende av tredjepartsleverantörer av kritiska tjänster och göra en adekvat uppskattning av de direkta och indirekta förlusterna vid ett eventuellt cyberangrepp.
Resultaten från testet kommer att användas som underlag i 2024 års ÖUP, där de enskilda bankernas riskprofiler undersöks. Stresstestet om cyberresiliens handlar inte om bankernas kapital, så resultatet påverkar inte bankernas pelare 2-vägledning. De enskilda bankerna har fått återkoppling om stresstestet, och resultaten kommer att följas upp med dem. I vissa fall har bankerna redan förbättrat sig eller planerar att rätta till de brister som uppdagades i testerna.
Frågor från media kan riktas till Clara Martín Marqués, tfn: +49 69 1344 17919 eller clara.martin_marques(at)ecb.europa.eu.