Bankerna cybersäkras
Den 30 juni i år börjar EU:s nya riktlinjer för bankernas cybersäkerhet att gälla. Därmed är det hög tid för finansbranschen att analysera nuläget och börja anpassa verksamheten. Det menar konsultbolaget PwC.
– De nya riktlinjerna från den europeiska bankmyndigheten, EBA, kommer att bli europeisk standard för hantering av säkerhets- och it-risker. Eftersom förändringen börjar gälla redan den 30 juni i år, så är det nu hög tid se över den egna statusen och implementera reglerna. Det är också viktigt att känna till att riktlinjerna gäller oavsett storlek på bolag, säger Baris Färnman, ansvarig cybersäkerhet inom finansbranschen, PwC.
Sammantaget kan man säga att riktlinjerna beskriver hur banker, fondbolag och leverantörer av betalningstjänster inom EU ska hantera sina interna och externa risker kopplat till it och säkerhet. Det ska förhoppningsvis minska sannolikheten för attacker, dataläckor, avbrott och intrång.
Riktlinjerna kommer agera som komplement till reglerna som redan nu finns i det så kallade PSD2-regelverket och utökar Finansinspektionens föreskrifter från 2014 och 2018.
– Det räcker inte längre att bara kunna visa att säkerhetsåtgärder uppfylls. Nu behöver organisationerna även genomföra konkreta tester som visar på hur cybersäkerheten stärks såväl i den egna verksamheten som för till exempel kunder och leverantörer, säger Sofie Åberg, specialist cybersäkerhet på PwC.
Enligt PwC:s experter bör bank- och finansområdet fokusera på följande tre steg:
- Gör en nulägesanalys Eftersom reglerna börjar gälla 30 juni är det viktigt att göra en bedömning av statusen i hela organisationen, kontrollfunktioner och processer och att sedan göra en analys över gapet mellan nuläge och de nya riktlinjerna.
- Sätt tydliga målsättningar Utveckla mål anpassat till riktlinjerna och rikta in er på prioriterade områden. Då kan ni fokusera organisationens insatser och resurser till stora riskområden och täppa tydliga luckor.
- Skapa rätt rapportering Ta fram en systematisk plan för rapportering av säkerhetsarbetet baserat på de nya riktlinjerna.
– Det handlar till exempel om att utveckla en rapporteringsram för cyberrisker. Rapporteringen ska sedan vara en grund för ledning och styrelse att hållas uppdaterade och vara delaktiga i de riskbeslut som behövs, till exempel om investeringar för ökad cybersäkerhet.
– Finansbranschen har länge varit föregångare inom risk- och säkerhetsområdet. Med de nya europeiska krafttagen kombinerat med Finansinspektionens kommande föreskrifter, finns det goda förutsättningar för att branschen fortsätter gå i främsta säkerhetsledet. Men det kommer att krävas betydande insatser för att leva upp till kraven och det är som sagt hög tid att säkerställa rätt hantering, avslutar Sofie Åberg.
Källa: PwC
Läs mer om ämnet: