1. Baggrund
Det er et målbillede i Finanstilsynets strategi 2025, at IT-sikkerheden i den finansielle sektor skal matche IT-afhængigheden og trusselsbilledet. Dertil kommer, at den nationale strategi for cyber- og informationssikkerhed 2022-2024, som finanssektoren er omfattet af, har som mål at sikre, at samfundsvigtige funktioner og økonomisk aktivitet skal kunne opretholdes i en krisesituation, hvor kritisk IT-infrastruktur sættes ud af kraft. Finanstilsynet lancerer derfor et nyt program om styrket operationel robusthed, som ved hjælp af cyberstresstest skal analysere konsekvenserne af et længerevarende IT-nedbrud. Programmet bygger bl.a. videre på resultaterne af arbejdet i Finansielt Sektorforum for Operationel Robusthed (FSOR), som ledes af Nationalbanken. Nationalbanken indgår i programmet i en sparringsrolle.
Programmet er en del af Finanstilsynets svar på det stigende trusselsbillede, hvor Finanstilsynet i tråd med internationale anbefalinger fra bl.a. Det Europæiske Udvalg for Systemiske Risici (ESRB) og Basel-Komitéen tager udgangspunkt i, at nedbrud ikke kan undgås. ESRB har peget på cyberstresstest som en værdifuldt redskab til at få viden om både den finansielle robusthed og cyberrobustheden hos virksomheder og finansiel infrastruktur. Bank of England udførte sin første cyberstresstest i 2019 og udfører efter planen endnu en i år.
Finanstilsynet har i sit tilsyn identificeret, at der i lyset af ovennævnte stigende trusselsbillede er behov for at styrke de systemisk vigtige virksomheders evne til at genoprette driften efter et alvorligt nedbrud. Det omfatter bl.a., at der skal skabes et overblik over konsekvenserne af et nedbrud for virksomhederne og for det finansielle system, herunder den finansielle infrastruktur, og i hvilken grad virksomhederne har tilstrækkelige nødplaner til at sikre fortsat drift og beredskabsplaner til at genoprette driften.
2. Programmets formål
Programmet om styrket operationel robusthed via cyberstresstest har til formål at få kortlagt, hvad der vil ske i tilfælde af omfattende IT-nedbrud i sektoren. Både i den enkelte virksomhed og på sektorniveau. Med udgangspunkt i den viden om konsekvenser vil Finanstilsynet understøtte, at der iværksættes passende initiativer hos de enkelte virksomheder til at forebygge og reducere konsekvenserne af et nedbrud. Eventuelle opfølgende initiativer på sektorniveau koordineres med Nationalbanken og det øvrige arbejde i FSOR.
3. Indledende projekt
I det indledende projekt analyseres konsekvenserne af et omfattende IT-nedbrud på virksomhedsniveau ved brug af cyberstresstest.
Udgangspunktet er et scenarie, hvor en systemisk vigtig datacentral (og / eller finansiel virksomhed) har et omfattende IT-nedbrud.
De medvirkende finansielle virksomheder skal trin for trin kortlægge de operationelle konsekvenser af nedbruddet. F.eks. hvilke forretningsprocesser der bliver påvirket, virksomhedernes forretningsnødplaner, herunder godkendelsesprocesser for væsentlige beslutninger, og i hvilken grad disse planer gør det muligt for virksomheden at fortsætte dens forretningsprocesser, indtil normal IT-drift er blevet genoprettet, og hvordan. Desuden skal virksomheden og/eller datacentralens IT-genopretningsplaner beskrives og dokumenteres, herunder hvor hurtigt normal IT-drift kan genoprettes.
Baseret på den detaljerede kortlægning af de operationelle konsekvenser skal virksomhederne vurdere de økonomiske, juridiske og omdømmemæssige konsekvenser af nedbruddet på forskellige tidspunkter, indtil normal IT-drift kan genoprettes. Vurderingerne skal dokumenteres.
Endelig, baseret på resultaterne af analyserne, vil det blive vurderet, om der er behov for yderligere initiativer / investeringer hos de enkelte virksomheder og / eller på sektorniveau.
De finansielle virksomheder og datacentraler, som skal deltage i testen, bliver informeret direkte. Da cyberstresstest er et nyt initiativ, vil Finanstilsynet aktivt involvere testdeltagerne i processen.
4. Konsulentydelser
Finanstilsynet forventer snart at udbyde en opgave om at levere konsulentbistand til at udvikle og implementere de indledende cyberstresstest.