Nu höjs säkerhetskraven avsevärt för bank & finansbranschen

Förra veckan publicerade EBA ett utkast av Guidelines on ICT and security risk management (EBA/CP/2018/15) vilket FCG bedömer avsevärt höjer krav på operativ riskhantering, IT och informationssäkerhet för betalningsförmedlingar, kreditmarknadsföretag och värdepappersbolag.

De föreslagna riktlinjerna är baserad på EBA:s tidigare publicerade Final Guidelines on ICT Risk Assessment under SREP (EBA/GL/2017/05). Det är sannolikt att de nya riktlinjerna kommer att fastslås under 2019. Antagandet av de nya riktlinjerna kommer att upphäva riktlinjer för säkerhetsåtgärder för operativa risker och säkerhetsrisker under det andra betaltjänstdirektivet PSD2 (EBA/GL/2017/17) [1]. Kraven kommer inte enbart påverka bank och finanssektorn utan även spilla över på leverantörer, så som exempelvis IT-driftsleverantörer och FinTech-bolag då EBA:s Guidelines on Outsourcing Agreements kommer höja kraven på hantering av utlagd verksamhet.

Konsultationen introduceras i samband med att EBA publicerade sin årsrapport om risker och sårbarheter inom EU:s banksektor. I denna rapport lyfts specifikt operativa risker kopplade till ICT fram som ett tilltagande riskområde. FI har också i sin senaste tillsynsrapport från december 2018 kommenterat på behovet av att förbättra arbetet med informationssäkerhet (FI-tillsyn Nr 9: Bankernas arbete med informationssäkerhet och cybersäkerhet).

De nyheter som FCG ser jämfört med PSD2 och FI:s föreskrifter (FFFS 2014:4 och 5) är främst kopplade till kravens detaljrikedom och andra linjens ansvar för IT och informationssäkerhet som fördjupas ytterligare. Riktlinjerna introducerar kravet på att finansiella institut behöver ha en formell IT-strategi som är kopplad mot verksamhetens övergripande affärsmål, ett utvecklat IT-styrningsramverk som inkluderar utökade krav på leverantörsstyrning och ett riskramverk som omfattar IT och informationssäkerhetsrisker. I riktlinjerna lyfts även risker kopplade till cyberattacker fram som ett område som kräver särskilda insatser inom ramen för det övergripande IT- och informationssäkerhetsarbetet. EBA förespråkar en organisatorisk placering av säkerhetschefen i andra linjen med direkt rapportering till styrelsen.

Operativ risk

Kraven omfattar förtydligande avseende operativ risks ansvar för styrning och kontroll inom både strategi, IT och informationssäkerhet.

Informationssäkerhet

Nytillkomna krav inom informationssäkerhet är uppdelning av säkerhetsfunktionen i första och andra linjens ansvar, utökad förmåga att säkerhetsövervaka både den interna och utlagda verksamheten, formella krav på riskramverk och internkontrollramverk för säkerhet, formella informationssäkerhetstester och utbildningsprogram för anställda och styrelse.

IT

De områden som skiljer sig från befintlig kravbild är kopplade till krav på automatisering av IT-processer, utökade krav för tillgångsinventering, och utökad loggning och monitorering av väsentliga IT-aktiviteter och IT-projekt. Vidare förtydligas och delvis utökas kraven på exempelvis livscykelhantering av IT-system, systemutvecklingsprocessen samt problem- och incidenthanteringsprocesserna. Vi har även noterat utökade krav på oberoende säkerhetstestning och formella godkännandeprocesser för IT-förändringar.

De föreslagna riktlinjerna omfattar inga explicita krav på hantering av bedrägeri, däremot återfinns sådana krav i riktlinjer för rapportering av statistiska uppgifter om svikliga förfaranden under det andra betaltjänstdirektivet[2]. (EBA/GL/2018/05).

I stora drag bygger detta förslag vidare på den nuvarande lagstiftningen som PSD2 ställer på betalningsförmedlare (för betaltjänster), och de krav som FFFS 2014:4 och FFFS 2014:5 ställer på banker och kreditinstitut. Nytt är att värdepappersbolag omfattas samt att kraven både höjs och specificeras.

Sammanfattningsvis är det FCG:s åsikt att kraven ökar i sin detaljrikedom (kraven förtydligas) samt att vissa förändringar introduceras avseende andra linjens ansvar inom IT och informationssäkerhet. IT och informationssäkerhet kopplas integrerat ihop med institutens riskhantering vilket vi på FCG bedömer som något positivt. På FCG har vi lång erfarenhet av operativ risk, IT och informationssäkerhet (inklusive cybersäkerhet). Har ni frågor kring det föreslagna riktlinjerna eller vill diskutera frågor kopplade till IT och informationssäkerhet är ni varmt välkomna att höra av er.

[1] Guidelines on the security measures for operational and security risks of payment services under Directive (EU) 2015/2366 (PSD2)

[2] Guidelines on fraud reporting under Directive (EU) 2015/2366 (PSD2)