Nyhet

Hantering av IT-risker och säkerhetsrisker – nya riktlinjer från EBA

Publicerad: 2020-04-30

Introduktion

I takt med den tekniska utvecklingen samt ökade digitaliseringen inom den finansiella sektorn de senaste åren har även informationssäkerhetsrisker och andra säkerhetsrisker ökat. Samtidigt tilltar komplexiteten och sammanlänkningen av IT-system, både inom företag och mellan dessa och andra tredjeparter. Detta ökar företagens sårbarhet vid bland annat cyberattacker såsom dataintrång och överbelastningsattacker. En störning i ett företags verksamhetskritiska IT-system kan därför få direkta och allvarliga konsekvenser både för det drabbade företaget och för andra företag samt i förlängningen även det finansiella systemet.

Den 28 november 2019 publicerade Europeiska bankmyndigheten (EBA) nya riktlinjer för hantering av IKT-risker och säkerhetsrisker (EBA/GL/2019/04). Riktlinjerna behandlar hantering av interna och externa risker inom IT och informationssäkerhet (dvs. det som i riktlinjerna avses med IKT-risker) samt operativ riskhantering i finansinstitut.   Med finansinstitut åsyftas i riktlinjerna betaltjänstleverantörer, kreditinstitut och värdepappersbolag. Riktlinjerna träder i kraft den 30 juni 2020 och upphäver i samband med detta EBA:s tidigare riktlinjer på området (EBA/GL/2017/17), som i och för sig endast gällde för betaltjänstleverantörer.

Riktlinjer från EBA har samma rättsliga status som Finansinspektionens allmänna råd och de aktörer som omfattas är således skyldiga att motivera eventuella avsteg från tillämpningen. Nedan presenterar vi några huvudpunkter från riktlinjerna samt frågeställningar som aktualiseras.

Huvudpunkter i urval – vilka krav ställs?

Strategi och ledning

Det framgår att den interna styrningen ska vara sund och att finansinstitut ska inrätta ett tillräckligt riskhanteringsramverk. Vidare ska ledningsorganen tydligt definiera roller och ansvarsområden avseende IT-funktioner,  hantering av informationssäkerhetsrisker och driftskontinuitet. Det uppställs även krav på att finansinstituten ska ha en formell IT-strategi som ska förankras i verksamhetens allmänna affärsstrategi. Handlings­planer bör även utformas för att uppnå denna strategi och dessa ska kommuniceras med samtliga berörda inom institutet. Det framgår vidare att finansinstitut, vid användning av tredjeparts­leverantörer, ska säkerställa de riskreducerande åtgärdernas effektivitet så som åtgärderna definieras i ovan nämnda riskhanteringsramverk samt i riktlinjerna. Finansinstitut ska även kontrollera leverantörernas efterlevnad av institutets säkerhetsmål, åtgärdsplan och resultatmått, vilket i praktiken innebär att finansinstitut kommer behöva se över sina uppdragsavtal samt försäkra sig om att tredjepartsleverantörena faktiskt uppfyller dessa.

Ramverk för hantering av IT-risker och säkerhetsrisker

Riktlinjerna anger att hanteringen av IT- och säkerhetsrisker bör tilldelas en oberoende kontroll­funktion, som ska vara avskild från verksamhetsprocesserna och som inte får ha ansvar för intern­revision. Detta innebär att funktionen placeras i andra linjen, vilket är en nyhet i förhållande till exempelvis Finansinspektionens föreskrifter (FFFS 2014:5) och allmänna råd om informationssäkerhet, IT-verksamhet och insättningssystem. Vidare anges att ramverket bör integreras fullständigt i verksamhetens allmänna riskhanterings­processer samt att riskbedömning och klassificering bör göras av verksamhetsfunktioner, stöd­processer samt informationstillgångar, med hänsyn till hur kritiska de bedöms vara.

Informationssäkerhet

Det anges att en informationssäkerhetspolicy bör utarbetas och dokumenteras samt att säkerhetsåtgärder bör tas fram och implementeras för att mitigera IT- och säkerhetsrisker som finansinstitut utsätts för, däribland avseende organisation och intern styrning, logisk och fysisk säkerhet samt säkerhet för IT-verksamhet. Detta överensstämmer i stort med kraven i FFFS 2014:5, men är i riktlinjerna betydligt mer detaljerat och långtgående.

Hantering av IT-verksamheten

I detta avsnitt anges att hanteringen bör ske utifrån dokumenterade och implementerade processer och rutiner, inklusive en löpande uppdaterad förteckning över finans­institutets IT-tillgångar samt framtagande av incident- och problemhanteringsprocesser. Vidare bör kapacitetsplanerings- och övervakningsprocesser införas samt även rutiner för säkerhetskopiering och återställande av data och IT-system.

Slutsatser och nästa steg

Det kan konstateras att riktlinjerna är mer omfattande och detaljrika exempelvis jämfört med tidigare föreskrifter från Finansinspektionen och att hantering av IT- och informationssäkerhetsrisker nu i högre utsträckning behöver integreras i finansinstitutens allmänna riskhanteringsprocesser samt förankras i affärsstrategin. Riktlinjerna är även mer deskriptiva än tidigare föreskrifter och tar inte enbart sikte på företag inom finanssektorn, utan påverkar indirekt även tredjepartsleverantörer såsom IT-driftsleverantörer. Tillsammans med EBA:s riktlinjer för utkontraktering från 2019 medför detta en ytterligare höjning av kraven på tredjepartsleverantörer. Vidare har ansvaret mellan första och andra linjen klargjorts och innebär att kontrollfunktionen för informationssäkerhets- och IT-risker tydligt placeras i andra linjen, vilket är en nyhet i Sverige samt medför att högre krav kan ställas på andra linjen och dess kompetens vad gäller informationssäkerhet och IT.

Mot bakgrund av att riktlinjerna är omfattande och detaljrika framstår implementeringstiden som förhållande­vis kort. Eftersom riktlinjerna överlag bygger på och hänvisar till etablerad branschpraxis, såsom ISO 27001, kan det dock förmodas att de större aktörerna på finansmarknaden relativt enkelt kommer att leva upp till kraven. För mindre aktörer, samt i förekommande fall vissa tredjepartsleverantörer, kommer det däremot blir en större utmaning – både avseende kompetens samt resurser. Det återstår i skrivande stund att se hur Finansinspektionen kommer att ställa sig till riktlinjerna, men potentiellt kan de medföra en revidering av myndighetens föreskrifter på området (främst FFFS 2014:5). Slutligen kan det i sammanhanget nämnas att även andra segment av finansmarknaden synes röra sig i samma riktning, vilket illustreras av att Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) i slutet på 2019 publicerade ett första utkast till riktlinjer för hantering av IT- och informationssäkerhetsrisker i försäkringsbranschen och som nyligen varit ute för samråd.

Hur kan vi på zeb hjälpa till?

Vi på zeb har mångårig erfarenhet av regelverk på finansmarknaden och kan rådge samt bistå i anpassningen till de nya riktlinjerna. Med ett holistiskt perspektiv som innefattar IT, data, riskhantering och regelefterlevnad är zeb en flexibel och pålitlig samarbetspartner som kan skräddarsy lösningar beroende på just er verksamhets specifika behov och utmaningar. Hör gärna av er om ni vill veta mer! 

 

Mladen Prodanovic

Consultant

Mladen.Prodanovic@zeb.se

Mobilnr 0731 456 689

 

Mikael Flod

Senior Manager

Mikael.flod@zeb.se

Mobilnr 0708 211 356

FLER NYHETER

ADDRESS

Biblioteksgatan 11
111 46 Stockholm